تتجه التهديدات السيبرانية الحديثة نحو استغلال ميزات نواة نظام لينكس (Linux kernel) المتطورة، مثل eBPF و io_uring، لتطوير برمجيات خبيثة متقدمة تعرف بـ “الجذور الخفية” (rootkits). هذه البرمجيات تهدف إلى التسلل إلى الأنظمة دون اكتشاف، وتشكل تحديًا متزايدًا للأمن السيبراني في البيئات التي تعتمد بشكل كبير على لينكس.
تُعَدّ جذور لينكس الخفية (Linux rootkits) واحدة من أخطر التهديدات التي تواجه البنية التحتية الحديثة، حيث تتطور بفضل التقنيات الجديدة. لطالما ركز المهاجمون على أنظمة ويندوز، لكن صعود لينكس في البيئات السحابية، وإنترنت الأشياء، والحوسبة عالية الأداء غيّر هذا التوجه.
تطور جذور لينكس الخفية
تمكن الباحثون في Elastic Security Labs، في سلسلة بحثية مفصلة، من تتبع تطور جذور لينكس الخفية عبر أجيال مختلفة. بدأت هذه البرمجيات بأشكال بسيطة تعتمد على اختراق المكتبات المشتركة (shared-object hijacking) في أوائل الألفية، ثم تطورت إلى موديولات تحميل نواة (loadable kernel modules – LKMs)، وصولًا إلى الأشكال الحديثة التي تستغل eBPF و io_uring.
من الأمثلة الواقعية على هذا التطور، تبرز برمجيات مثل TripleCross، Boopkit، و RingReaper التي وُثقت حديثًا في عام 2025. هذه البرمجيات تمثل أحدث ما توصل إليه المهاجمون من خلال استغلال هذه التقنيات.
يكمن القلق المتزايد بشأن جذور لينكس الخفية الحديثة ليس فقط في تعقيدها التقني، بل في كيفية استغلالها لميزات نواة لينكس التي صُممت في الأصل لأغراض مشروعة.
كيف أعادت eBPF و io_uring تشكيل أسلوب عمل جذور لينكس الخفية
يُعد استخدام eBPF (Extended Berkeley Packet Filter) تحولًا جذريًا في كيفية تفاعل جذور لينكس الخفية مع النواة. فبدلًا من كتابة موديول نواة خبيث قد يتسبب في انهيار النظام، يقوم المهاجم بتحميل شيفرة eBPF التي تمر عبر مدقق النواة قبل تحويلها إلى شيفرة آلة أصلية، مما يجعلها تبدو أكثر شرعية للنظام.
تُرفق برامج eBPF عادةً بنقاط تتبع استدعاءات النظام (syscall tracepoints) أو خطافات وحدات أمان لينكس (LSM hooks). هذا يمنحها القدرة على مراقبة أحداث النظام المختلفة، مثل تنفيذ العمليات، الوصول للملفات، ونشاط الشبكة، دون الحاجة لتعديل مباشر لشيفرة النواة.
من جهة أخرى، تُسهم io_uring، وهي واجهة إدخال/إخراج غير متزامنة عالية الأداء، في تفادي آليات الكشف التقليدية. تستطيع هذه التقنية تجميع عدد كبير من عمليات الإدخال/الإخراج في دفعة واحدة بدلاً من إطلاق استدعاءات نظام فردية لكل عملية.
هذا التغيير يعني أن العمليات الخبيثة التي تجمع كميات كبيرة من البيانات أو تقوم بمسح شامل للنظام يمكن أن تفعل ذلك بأقل قدر من رصد استدعاءات النظام، مما يشكل مشكلة كبيرة لحلول الكشف والاستجابة لنقاط النهاية (EDR) التي تعتمد على مراقبة هذه الاستدعاءات.
ومع ذلك، لا يزال المدافعون يمتلكون استراتيجيات لمواجهة هذه التهديدات. يمكن مراقبة الاستخدام غير المألوف لاستدعاءات النظام مثل io_uring_enter و io_uring_register للكشف عن العمليات التي تقدم دفعات كبيرة بشكل غير طبيعي. وبالنسبة لتهديدات eBPF، يُنصح بتدقيق برامج eBPF المحملة على الأنظمة، خاصة تلك التي لا تُستخدم فيها هذه التقنيات بشكل اعتيادي.
تظل تقنيات تحليل الذاكرة، وفحص سلامة النواة، وجمع البيانات من مستويات أقل من نظام التشغيل هي الأساليب الأكثر موثوقية لتحديد جذور لينكس الخفية التي نجحت في إخفاء نفسها. كما يُنصح بتطبيق سياسات قفل النواة، وتفعيل توقيع الوحدات، وتحديث النواة بانتظام، خاصة الإصدارات التي تتجاوز 6.9 وما بعدها، حيث قدمت تغييرات معمارية تعطل طرق اعتراض جداول استدعاءات النظام القديمة.