Wieloetapowy atak na systemy Linux
Nowy rodzaj złośliwego oprogramowania typu rootkit, nazwany „Pumakit,” został wykryty przez ekspertów z Elastic Security. To zaawansowane narzędzie wykorzystuje wieloetapowy proces infekcji, rozpoczynający się od droppera o nazwie „cron.” Program ten uruchamia dwa ładunki osadzone wyłącznie w pamięci: /memfd:tgt i /memfd:wpn. Ten ostatni odgrywa kluczową rolę, analizując środowisko i manipulując obrazem jądra systemu, aby wdrożyć moduł rootkita LKM („puma.ko”) w jądrze systemu Linux.
Kluczowym elementem Pumakit jest moduł rootkita jądra, który współpracuje z rootkitem przestrzeni użytkownika o nazwie Kitsune SO. Dzięki tej synergii oprogramowanie jest w stanie nie tylko przechwytywać wywołania systemowe, ale także ukrywać pliki, procesy i połączenia sieciowe. Co więcej, rootkit potrafi dynamicznie ukrywać dowolne pliki lub katalogi na podstawie kryteriów określonych przez atakującego.
Pumakit jest skierowany głównie na starsze wersje systemu Linux, przed wersją 5.7. Wykorzystuje funkcję kallsyms_lookup_name() do manipulacji symbolami jądra, co pozwala na przejęcie pełnej kontroli nad systemem. Eksperci Elastic Security zwracają uwagę, że ten rootkit przechwytuje aż 18 różnych wywołań systemowych, umożliwiając eskalację uprawnień, wykonywanie poleceń i ukrywanie procesów.
Co ciekawe, oprogramowanie potrafi automatycznie przywrócić swoje haki w przypadku ich przerwania. Ta zdolność sprawia, że złośliwe zmiany w systemie są trudne do usunięcia, a sam moduł nie może być łatwo wyładowany. Rootkit ukrywa również swoją obecność przed narzędziami systemowymi, logami jądra i oprogramowaniem antywirusowym, co czyni go wyjątkowo trudnym do wykrycia.
Dodatkowym zagrożeniem jest komponent Kitsune SO działający w przestrzeni użytkownika. Przechwytuje on kluczowe wywołania systemowe, takie jak ls, ps czy netstat, aby manipulować wynikami poleceń, w efekcie ukrywając aktywność rootkita. Co więcej, komponent ten obsługuje komunikację z serwerem poleceń i kontroli (C2), co pozwala atakującym na pełną kontrolę nad zainfekowanym systemem.
Środki zaradcze i potencjalne konsekwencje
Elastic Security po raz pierwszy wykryło Pumakit 4 września 2024 roku w pliku binarnym przesłanym na VirusTotal. Mimo że nie wiadomo, kto jest odpowiedzialny za jego stworzenie ani jakie cele atakuje, eksperci wskazują, że takie narzędzia są zwykle używane przez zaawansowane grupy cyberprzestępcze. Główne cele to infrastruktura krytyczna, systemy przedsiębiorstw oraz operacje szpiegowskie.
W odpowiedzi na zagrożenie Elastic opublikowało regułę YARA, która ma pomóc administratorom systemów Linux w wykrywaniu obecności Pumakit. Jest to jednak dopiero początek walki z tym zaawansowanym zagrożeniem, które może mieć dalekosiężne skutki, w tym zakłócenie działania kluczowych systemów, kradzież danych oraz potencjalne straty finansowe.
Eksperci ostrzegają, że rozwój takich narzędzi podkreśla konieczność aktualizacji systemów i stosowania nowoczesnych mechanizmów ochrony. Warto również, aby administratorzy regularnie analizowali swoje systemy pod kątem podejrzanych działań, szczególnie w kontekście infrastruktury krytycznej.
Pumakit to zaawansowany rootkit, który wykorzystuje unikalne techniki ukrywania się i eskalacji uprawnień. Jego pojawienie się podkreśla konieczność wzmożonej uwagi w zakresie bezpieczeństwa systemów Linux. Wykorzystanie nowoczesnych narzędzi do wykrywania i zapobiegania tego typu atakom jest obecnie kluczowe dla ochrony przed zagrożeniami cybernetycznymi.
