كشفت تقارير أمنية حديثة عن ظهور برمجية خبيثة متطورة تُعرف باسم “Singularity”، وهي رووتكيت مصمم خصيصًا لأنظمة لينكس، بقدرات متقدمة على التخفي تتحدى أنظمة الكشف الحالية، مما يثير قلق مجتمع الأمن السيبراني.
تمثل “Singularity” تطورًا مقلقًا في تقنيات الرووتكيت، حيث توفر مسارات متعددة للهجوم وتقنيات مراوغة شاملة تجعل اكتشافها وإزالتها أمرًا بالغ الصعوبة.
تعتمد هذه البرمجية الخبيثة على بنية وحدات نواة لينكس (LKM) للعمل على مستوى النواة، مما يمنحها قدرات تسلل استثنائية.
تم تطوير “Singularity” من قبل الباحث الأمني MatheuZSecurity، وتستفيد من البنية التحتية لـ ftrace لربط استدعاءات النظام، مما يمنح المهاجمين سيطرة كاملة على أنظمة لينكس مع البقاء غير مرئيين للأدوات الأمنية والمسؤولين.
تجمع “Singularity” بين إخفاء العمليات، وإخفاء الملفات، والتخفي الشبكي في منصة موحدة. يمكن للبرمجية إخفاء أي عملية قيد التشغيل، وإزالة الملفات من قوائم الدلائل، وإخفاء اتصالات الشبكة، وتصعيد الامتيازات فورًا إلى صلاحيات الجذر.
يتيح تشغيلها على مستوى النواة تصفية السجلات في الوقت الفعلي، مما يمنع ظهور أي آثار لوجودها في سجلات النظام أو مخرجات تصحيح أخطاء النواة.
قدرات متقدمة من “Singularity”
أفاد محللون وباحثون على منصة GitHub بأن “Singularity” تقدم العديد من الميزات غير المسبوقة المصممة خصيصًا لتجاوز أدوات الأمن المؤسسية، بما في ذلك حلول اكتشاف النقاط الطرفية والاستجابة (EDR).
تتضمن البرمجية الخبيثة آليات لحظر المراقبة الأمنية المعتمدة على eBPF، وتعطيل حمايات io_uring، ومنع تحميل وحدات نواة شرعية، مما يخلق حواجز متعددة أمام الاكتشاف.
التحكم والوصول الخفي
توفر البرمجية وصولًا عن بعد عبر غلاف عكسي يتم تشغيله بواسطة حزمة ICMP. يمكن للمهاجمين إرسال حزم ICMP مصممة خصيصًا تحتوي على تسلسل سحري لإنشاء اتصالات قيادة وتحكم مخفية تظل غير مرئية تمامًا لأدوات مراقبة الشبكة مثل netstat و tcpdump ومحللات الحزم.
جميع العمليات الفرعية التي يتم إنشاؤها عبر هذه القناة ترث تلقائيًا خصائص الإخفاء.
يتجاوز التخفي لـ “Singularity” مجرد الإخفاء. تقوم البرمجية باعتراض وتصفية المحاولات لتعطيل ftrace بنشاط، مما يؤدي إلى تحييد إحدى أطر المراقبة الأساسية لنظام لينكس.
تقوم بمراقبة أكثر من 15 استدعاء نظام حساس يتعلق بعمليات إدخال/إخراج الملفات، بما في ذلك write و splice و sendfile و copy_file_range.
أي عملية تحاول الوصول إلى هذه الوظائف تتلقى ردًا فوريًا يشير إلى النجاح، بينما تمنع البرمجية التنفيذ الفعلي بصمت.
تجاوز الآليات الأمنية
يتم باستمرار تسوية آلية “تلوث النواة” (kernel taint)، التي تحدد سلوك النواة المشبوه، بواسطة خيط تطهير mask الملوث الخاص بـ “Singularity”. هذا يمنع محللي الأدلة الجنائية من اكتشاف تعديلات النواة غير المصرح بها.
بالإضافة إلى التطهير المكثف للسجلات الذي يقوم بتصفية كلمات مفتاحية مثل taint و journal و kallsyms_lookup_name، لا تترك “Singularity” أي دليل جنائي تقريبًا على عملياتها على الأنظمة المخترقة.
تكشف الاختبارات أن البرمجية تتجاوز بنجاح أدوات الكشف القياسية، بما في ذلك unhide و chkrootkit و rkhunter.
يATIONALتوافق عبر متعددة معماريات—X64 و IA32—ودعم لإصدارات نواة مختلفة تجعلها تهديدًا مرنًا عبر عمليات نشر لينكس متنوعة.
يجب على فرق الأمن النظر في هذه النتائج على أنها حرجة عند تقييم وضعها الأمني لأنظمة لينكس.