تم الكشف عن برمجية خبيثة جديدة لطالما استهدفت خوادم لينكس، وهي عبارة عن باب خلفي (Backdoor) يُعرف باسم GhostPenguin.
تتسم هذه البرمجية بتطورها وقدرتها على التخفي، حيث أفادت تقارير بأنها ظلت غير مكتشفة لمدة تزيد عن أربعة أشهر، مما يمثل تحدياً أمنياً كبيراً.
تم اكتشاف GhostPenguin باستخدام أدوات متقدمة تعتمد على الذكاء الاصطناعي في تحليل العينات غير المكتشفة، مما سلط الضوء على مدى تطور أدوات التهديد السيبراني حالياً.
تُعد البرمجيات مثل GhostPenguin مصدر قلق للشركات والمؤسسات التي تعتمد على أنظمة لينكس، نظراً لقدرتها على الوصول عن بعد والتحكم في الملفات.
GhostPenguin: باب خلفي متطور يستغل أدوات الذكاء الاصطناعي
تُبنى برمجية GhostPenguin الخبيثة بتقنيات متقدمة، حيث تعتمد على لغة C++ وقدرات تعدد الخيوط (multi-threaded). وتستطيع إنشاء قناة وصول آمنة عبر بروتوكول UDP المشفر، مما يجعل رصدها بواسطة أدوات الأمن التقليدية أمراً بالغ الصعوبة.
من جهة أخرى، ظل GhostPenguin بعيداً عن متناول أدوات الكشف المعتادة، فقد رصدت التحليلات الأمنية عدم ظهوره في قوائم الفحص المعروفة حتى وقت قريب، تحديداً منذ 7 يوليو 2025.
تُشير طبيعة هذه البرمجية إلى أن الجهات التي تقف وراءها تولى اهتماماً بالغاً بالتفاصيل، فهي تستخدم أكواداً مخصصة وتتجنب الاعتماد على المصادر المفتوحة أو الشائعة التي قد تطلق جرس الإنذار لدى أنظمة الحماية.
آلية العمل والاتصال
تعمل GhostPenguin عن طريق إنشاء اتصال مشفر بخوادم القيادة والسيطرة (Command and Control). وتستخدم خوارزمية تشفير RC5، مع معرف سيشن (Session ID) مميز بطول 16 بايت يتم الحصول عليه في بداية الاتصال.
يتم إرسال طلب الاتصال الأولي عبر حزمة UDP غير مشفرة تحتوي على معرف مؤقت. يقوم الخادم بعد ذلك باستبدال هذا المعرف بمفتاح تشفير فعلي، والذي يُستخدم بعد ذلك في جميع الاتصالات اللاحقة عبر منفذ UDP 53.
عند بدء تشغيل البرمجية، تقوم بالوصول إلى مسار مجلد المستخدم الرئيسي (home directory) والمسار التنفيذي لضمان عملها بشكل سليم. كما أنها تنشئ ملفاً مؤقتاً (.temp) في المجلد الرئيسي يتضمن معرف العملية (PID) لمنع تشغيل نسخ متعددة في نفس الوقت.
تتحقق البرمجية من وجود نسخ أخرى قيد التشغيل عبر التحقق من معرف العملية المخزن ومقارنته بالعمليات النشطة، وذلك باستخدام الأمر kill(pid, 0).
مراحل العمل وسلسلة الأوامر
تمر البرمجية بسلسلة من أربع مراحل أساسية: التهيئة، طلب معرف الجلسة، التسجيل، ثم إرسال معلومات النظام مثل عنوان IP، اسم الجهاز، إصدار نظام التشغيل، وبنية المعالج.
بعد ذلك، تنتقل إلى وضع الاستماع، حيث تحافظ على الاتصال عبر إشارات دورية (heartbeat) كل 500 مللي ثانية، وتكون جاهزة لتنفيذ الأوامر لتلقي المهام.
تتضمن الأوامر التي يمكن تنفيذها حوالي 40 وظيفة مختلفة، تشمل التحكم الكامل في سطر الأوامر عن بعد، بالإضافة إلى عمليات واسعة النطاق على الملفات والمجلدات.
من الجدير بالذكر أن جميع عمليات نقل البيانات يتم تقسيمها إلى حزم متعددة لتتوافق مع قيود حجم حزمة UDP. وفي حال عدم استلام تأكيد بالاستلام، يتم إعادة إرسال الحزم تلقائياً لضمان وصول البيانات.