Нов злонамерен софтуер, наречен Lightning Framework, е насочен към компютърни системи, работещи под управление на Linux. Специалистите по сигурност от Intezer определят заплахата като швейцарско ножче, заради модулната ѝ структура.
Lightning може да инсталира много руткитове и добавки в компрометираната система, както и да отвори достъп до нея чрез SSH. Основните компоненти на този фреймуърк са зареждащият модул и ядрото, чиято функционалност е разширена с необходимите добавки. Някои от тях, според експертите на Intezer, са програми с отворен код.
Зареждащият модул активира ядрото и, както подсказва името му, зарежда модули от т.нар. „трети страни”. Ядрото, от своя страна, комуникира с контролните сървъри и изпълнява плъгини.
Експертите на Intezer поясняват, че злонамереният софтуер маскира своите компоненти с имена, които са неразличими от имената на легитимни софтуерни компоненти. Например, зареждащият модул се опитва да имитира Seahorse – мениджър на пароли и крипто-ключове за GNOME (изпълнимият файл kbioset се зарежда в директорията /usr/Lib64/seahorses/).
Това обаче далеч не са единствените техники за осигуряване на секретност. Злонамереният софтуер постоянно променя часа и датата на файловете, които създава, за да съответстват на тези на легитимните приложения whoami, find или su. Идентификационният номер на процеса (ProcessID – PIT) е скрит, както и мрежовите портове, използвани от инсталираните руткитове.
Данните на контролния сървър се съхраняват в полиморфни конфигурационни файлове, уникални за всяка инсталация на фреймуърка. „Това означава, че файловете с настройки не могат да бъдат намерени чрез методи като хешове. Ключовете са вградени в началото на криптирания файл”, се казва в изследването на Intezer.
Но експертите признават, че все още не са виждали Lightning Framework „в действие” – в реални атаки. Те също така не са успели да открият всички плъгини, връзки към които фигурират в кода на злонамерения софтуер. В същото време изследователите не уточняват как са успели да прихванат самия фреймуърк.
Високопроизводителните Linux системи се използват обикновено от големи предприятия, вкл. с критична инфраструктура, облачни доставчици и други организации, атаките срещу които могат да представляват повишена заплаха. Интересът на киберпрестъпниците към Linux непрекъснато расте и съответно се увеличава броят на сложните злонамерени програми за подобни системи, пример за което е Lightning Framework.