Fysbis تروجان ساده اما مؤثر تحت Linux

Fysbis تروجان ساده اما مؤثر تحت Linux

یک گروه روسی جاسوسی سایبری که Pawn Storm نام دارد در حال توزیع یک برنامه تروجان ساده و مؤثر از طریق سیستم‌های Linux می‌باشد. این تروجان بانام Fysbis بدون روت اجرا می‌شود و یک معماری انعطاف‌پذیر و modular دارد و نیاز به دسترسی سطوح مدیریتی در سیستم  را ندارد.
گروه روسی جاسوسی سایبری Pawn Storm بانام‌های دیگر (APT28، Sofacy و Sednit) از سال 2007 شروع به کارکرد و در طول دوران فعالیت خود سازمان‌های دولتی، امنیتی، نظامی، پیمانکاران دفاعی و رسانه‌ها  را در کشورهای عضو NATO هدف قرار داده است.
این گروه معمولاً حملات Zero Day اجرا می‌کند و از آسیب‌پذیری‌های ناشناخته برای نقض و حمله استفاده می‌کند. آنها نیز از روش‌های ارسال ایمیل‌های Spear Phishing و غیره استفاده می‌کند. ابزار اصلی کار آنها یک درب پشتی ویندوز بانام Sednit می‌باشد اما این گروه از بدافزارهای مخصوص Mac OS X، Linux و سیستم‌های موبایلی استفاده می‌کند.
به نقل از محققین  شرکت امنیتی Palo Alto، ابزار بدافزاری محبوب این گروه Fysbis نام دارد. این بدافزار حالت modular دارد که به مجرمین اجازه می‌دهد عملکرد آن را با استفاده از Plugin های دانلود شده به سیستم قربانی توسعه دهند. این بدافزار خود را در سیستم قربانی (روت شده و نشده) نصب می‌کند. این ابزار جاسوسی سایبری برای سرقت داده طراحی‌شده است. بااینکه این بدافزار کنترل تمام سیستم را به دست نمی‌گیرد، می‌تواند مدارک حساس کاربر را برداشت کند، تاریخچه مرورگر را کپی کند و فعالیت‌های دیگر کاربر را برداشت کند.
Fysbis واضح نشان می‌دهد که عوامل تهدیدهای مستمر پیشرفته (Advanced Persistent Threats) لازم نیست که برای رسیدن به اهداف خود از روش‌های پیچیده استفاده کنند. برخلاف اعتقاد بسیاری از مردم که Linux از سطوح بالاتر امنیت برخوردار است، بدافزار و آسیب‌پذیری در این سیستم وجود دارد و توسط هکرهای پیشرفته استفاده می‌شود.
در محیط‌هایی که در آن ویندوز به‌طور گسترده استفاده می‌شود شناسایی بدافزارهای لینوکس ممکن است سخت‌تر باشد چون در چنین سازمان‌هایی تمرکز پشتیبانی و محافظت بر روی ویندوز است و visibility و کارشناسی Linux ضعیف‌تر می‌باشد. شاید به همین دلیل است که مجرمین سایبری تروجان های لینوکس را در سال‌های اخیر بیشتر به کار گرفته‌اند.