آلودگی سروهای لینوکس و FreeBSD توسط بدافزار Mumblehard

بدافزار پیشرفته Mumblehard سامانه‌های لینوکسی و FreeBSD را از 5 سال پیش وارد شبکه بات‌نت خودکرده است. محققان امنیتی این بدافزار را پس از تلفن یکی از ادمین‌های شبکه شناسایی کردند که اعلام کرده بود، سرور او وارد لیست سیاه ارسال‌های اسپم شده است.
محققان امنیتی حدس می‌زنند، هکرها پس از استفاده از آسیب‌پذیری‌های WordPress و Joomla سرور آن‌ها را تحت اختیار گرفته‌اند و سپس بدافزار را بر روی این سامانه‌ها نصب‌کرده‌اند.
محققان امنیتی ESET، در حال رصد بات‌نت این بدافزار را از 7 ماه پیش توسط سرور C&C شناسایی‌شده، بوده‌اند. آن‌ها توانسته‌اند 8867 آدرس یکتا را شناسایی کنند که به این سرور متصل شده‌اند. 3000 عدد از این آی.پی‌ها تنها در سه هفته گذشته وصل شده‌اند.
کتابخانه‌ها و توابع Mumblehard عموماً توسط اسکریپت‌های Perl رمزنگاری‌شده‌اند و در فایل‌های باینری ELF بسته‌بندی‌شده‌اند. این بدافزار توسط زبان پرل و اسمبلی نوشته‌شده است که نشان از سطح بالای این بدافزار و برنامه نویسان آن است.
محققان امنیتی ارتباط میان این بدافزار و شرکت Yellsoft شناسایی کرده‌اند. شرکت Yellsoft نرم‌افزار DirecMailer را می‌فروشد که به زبان پرل بوده و به‌منظور ارسال ایمیل‌های با تعداد بالا کاربرد دارد. هم‌چنین بلوک آی.پی استفاده‌شده توسط سرور C&C این بدافزار با بلوک آی.پی شرکت Yellsoft یکسان است.

محققان امنیتی دو نوع مختلف از این بدافزار شناسایی کرده‌اند. اولین نسخه یک بک دور است که لیست دستورهای مختلف را از سرور C&C دریافت می‌کند. دومین نسخه یک اسپمر است.
این بدافزار نشان از ارتقای سطح بدافزارهایی دارد که سامانه‌های لینوکسی و FreeBSD را هدف قرار داده‌اند و از بدافزارهایی که در سال 2014 شناسایی‌شده‌اند، پیچیده‌تر است. این پیچیدگی باعث شده است، این بدافزار به مدت چندین سال مخفی باقی بماند.
ادمین‌های شبکه به‌منظور بررسی سامانه خود می‌توانند ارتباط‌های تعریف‌نشده را بررسی کنند. زیرا این بدافزار برای ارتباط با سرور C&C این پروسه را ایجاد می‌کند. هم‌چنین بک دور معمولاً در مسیر /tmp یا /var/tmp قرار دارد.