Phát hiện mã độc Linux Plague bí mật chiếm quyền SSH và xóa dấu vết

Các nhà nghiên cứu bảo mật từ Nextron Systems vừa công bố phát hiện một loại mã độc Linux mới có tên Plague, được thiết kế tinh vi để duy trì quyền truy cập SSH lâu dài và vượt qua cơ chế xác thực trên hệ thống bị xâm nhập, đồng thời tránh hoàn toàn sự phát hiện của các công cụ bảo mật truyền thống.

Theo nhóm nghiên cứu, Plague hoạt động dưới dạng Pluggable Authentication Module (PAM) là một thành phần mở rộng cho hệ thống xác thực của Linux. Nó được lập trình với nhiều lớp obfuscation, cơ chế anti-debugging chống phân tích ngược, mật khẩu tĩnh để mở cửa hậu truy cập, và khả năng ẩn toàn bộ dấu vết hoạt động trên thiết bị bị nhiễm.

Khi được kích hoạt, Plague thực hiện xóa sạch các biến môi trường liên quan đến SSH như SSH_CONNECTION và SSH_CLIENT, đồng thời ghi đè HISTFILE sang /dev/null nhằm ngăn hệ thống lưu lại lịch sử lệnh. Việc này giúp kẻ tấn công loại bỏ toàn bộ dấu vết trong nhật ký hệ thống và các phiên shell tương tác, khiến việc điều tra gần như bất khả thi.

Ông Pierre-Henri Pezier, chuyên gia của Nextron Systems, nhận định:

> “Plague cắm sâu vào chuỗi xác thực của hệ thống, tồn tại qua các bản cập nhật và gần như không để lại dấu vết pháp y. Sự kết hợp giữa obfuscation nhiều lớp, mật khẩu cài sẵn và thao túng môi trường giúp nó tránh được các công cụ phát hiện thông thường.”

Quá trình phân tích cũng cho thấy mã độc này đã được phát triển liên tục trong thời gian dài, với nhiều biến thể được biên dịch từ các phiên bản GCC khác nhau trên nhiều bản phân phối Linux. Mặc dù đã có mẫu được tải lên VirusTotal trong hơn một năm qua, không một công cụ diệt virus nào nhận diện chúng là độc hại.

Đây không phải lần đầu tiên Nextron Systems phát hiện mã độc lợi dụng kiến trúc PAM của Linux. Trước đó vào tháng 5, nhóm nghiên cứu đã ghi nhận một chiến dịch tương tự, cho phép tin tặc đánh cắp thông tin đăng nhập, vượt qua cơ chế xác thực và duy trì quyền truy cập ngầm trên máy chủ bị xâm nhập.

Phát hiện này một lần nữa nhấn mạnh rằng các hệ thống Linux, dù nổi tiếng về tính bảo mật, vẫn có thể trở thành mục tiêu của những cuộc tấn công tinh vi nếu không được giám sát và cập nhật chặt chẽ.