Onderzoekers zijn op een Linux-backdoor gestuit die zichzelf perfect kan schuilhouden voor detectietools. De staat van de malware duidde er ook op dat het om een al backdoor gaat die al langer bestaat.
Het Intezer- en The Blackberry Threat Research & Intelligence Team, maken melding van een ontdekte backdoor. Door de combinatie van de vele mogelijkheden die de malware hackers geeft, de moeilijkheid om de backdoor te detecteren en het gegeven dat de malware niet nieuw is, gaat het om een zeldzame vondst.
De meeste detectietools zullen de aanwezigheid van de malware in bestandssystemen, processystemen en het netwerkverkeer niet opmerken. Dat kan ook verklaren waarom er vooralsnog geen meldingen zijn van actieve uitbuiting.
Speciale methode
In de melding wordt verder uitgelegd hoe de malware te werk gaat: “Symbiote (de benaming van de Linux-backdoor, nvdr.) moet andere lopende processen infecteren om schade toe te brengen aan geïnfecteerde machines. In plaats van een opzichzelfstaand uitvoerbaar bestand dat wordt uitgevoerd om een machine te infecteren, is het een shared object (SO) bibliotheek die in alle lopende processen wordt geladen met LD_PRELOAD (T1574.006), en de machine infecteert.”
Op geïnfecteerde machines kunnen hackers vanop afstand inbreken en bijvoorbeeld data verzamelen. Deze data kunnen als hefboom dienen voor hackers om bedrijven gevoelige informatie terug te laten kopen.