Linux Yüklü Cihazları Hedefleyen Yeni Tehdit: FontOnLake

Daha önce bilinmeyen bir kötü amaçlı yazılım ailesi ortaya çıkarıldı. Linux işletim sistemlerinin yüklü olduğu cihazları hedef alan ve kullandığı modüllerin sürekli olarak geliştirildiği tespit edilen kötü amaçlı yazılım ailesine FontOnLake ismi verildi.

FontOnLake, kimlik bilgileri topluyor ve proxy sunucusu işlevi görüyor. Veri toplamak ya da diğer kötü amaçlı etkinlikleri gerçekleştirmek için bu kötü amaçlı yazılım ailesi, başka bileşenler yükleyecek şekilde ayarlanan değiştirilmiş yasal ikili dosyalar kullanıyor. Varlığını gizlemek için FontOnLake’e her zaman bir kök kullanıcı takımı eşlik ediyor. Bu ikili dosyalar Linux yüklü sistemlerde yaygın olarak kullanılıyor ve ayrıca kalıcılık mekanizması işlevi de görebiliyor.

Güvenlik araştırmacısı Vladislav Hrčka, bu yeni tehdit hakkında şunları söylüyor: “Gelişmiş tasarım ve düşük görülme oranı ile bir araya gelen FontOnLake’in araçlarının sinsi doğası, bunların hedefe yönelik saldırılarda kullanıldığını gösteriyor.”

Siber saldırganlar aşırı dikkatli…

FontOnLake operatörlerinin görülen tüm örneklerde değişik standart dışı bağlantı noktalarına sahip, farklı ve benzersiz Komuta ve Kontrol sunucuları kullandıkları için aşırı dikkatli olduklarına inanılıyor. Kötü amaçlı yazılım yazarları, çoğunlukla C/C++ ve Boost, Poco ve Protobuf gibi üçüncü taraf kitaplıkları kullanıyor.

Bu kötü amaçlı yazılım ailesinin ilk bilinen dosyası, geçtiğimiz Mayıs ayında görüntülendi. Diğer örnekler ise yıl içerisinde yüklendi.

Linux uç noktalarını ya da sunucularını bu yeni tehdide karşı korumak isteyen şirketler ya da bireylerin çok katmanlı bir güvenlik ürünü ve Linux dağıtımlarının güncel sürümünü kullanmaları gerektiği belirtiliyor.