به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، این گروه که با نام ژلسیوم (Gelsemium) ردیابی شده است، از دستکم سال ۲۰۱۴ فعال بوده و به طور عمده قربانیانی را در شرق آسیا و خاورمیانه هدف قرار داده است.
در آخرین کمپین خود که به احتمال زیاد بر تایوان، فیلیپین و سنگاپور متمرکز بوده، هکرها از درب های پشتی لینوکس با نامهای وولفس بین (WolfsBane) و فایروود (FireWood) استفاده کردهاند.
طبق گفته محققان شرکت امنیت سایبری اسلواکیایی ایست (ESET)، این احتمالاً اولین بار است که ژلسیوم سیستمهای لینوکس را هدف قرار میدهد.
اولین نمونههای این بدافزار در سال ۲۰۲۳ در مخزن ویروس توتال (VirusTotal) آپلود شدهاند.
برای دسترسی اولیه به دستگاههای قربانیان، هکرها به احتمال زیاد از یک آسیبپذیری ناشناخته در برنامههای وب سوءاستفاده کردهاند.
با این حال، محققان جزئیات زیادی درباره تأثیر این حملات یا هویت قربانیان ارائه نکردهاند.
وولفس بین معادل لینوکسی درب پشتی ژلسیوم برای ویندوز با نام ژلسویرین (Gelsevirine) است.
از سوی دیگر، فایروود مشابه درب پشتی پراجکت وود (Project Wood) است که قبلاً علیه سیستمهای ویندوزی استفاده شده بود.
در حالی که وولفس بین ابزار اختصاصی این گروه است، فایروود ممکن است میان چندین هکر وابسته به دولت چین به اشتراک گذاشته شده باشد.
هدف این درهای پشتی، همراه با سایر ابزارهای استفادهشده در این کمپین، جاسوسی سایبری است.
این ابزارها برای هدف قرار دادن دادههای حساس مانند اطلاعات سیستم، اعتبارنامههای کاربری و فایلها و دایرکتوریهای خاص طراحی شدهاند، در حالی که شناساییشدن را دور میزنند.
هدفگیری سیستمهای لینوکس توسط این گروه توجه ویژهای را میان محققان برانگیخته است.
آنها اشاره کردهاند که بدافزارهای لینوکس به دلیل پیشرفتهای امنیتی در ویندوز در حال محبوبتر شدن میان هکرهای دولتی هستند.
عوامل تهدید همچنین در حال کشف روشهای حمله جدید هستند و بیشتر بر سوءاستفاده از آسیبپذیریهای سیستمهای متصل به اینترنت، که اکثر آنها بر روی لینوکس اجرا میشوند، متمرکز شدهاند.
ایست اظهار داشت:
این بدان معناست که این سیستمهای لینوکس در حال تبدیل شدن به اهداف ترجیحی جدید برای این دشمنان هستند.
