در معرض سرقت بی‌سروصدای اطلاعات کاربری قرار گرفتن سیستم‌های حیاتی لینوکس توسط درب پشتی PAM جدید «Plague»

محققان امنیت سایبری یک درب پشتی لینوکس که قبلاً مستند نشده بود و به مدت یک سال از شناسایی شدن فرار کرده بود را شناسایی کرده‌اند.

پیر-هنری پزیه، محقق Nextron Systems، گفت[۱]: «این ایمپلنت به‌عنوان یک PAM[2] (ماژول احراز هویت قابل اتصال) مخرب ساخته شده است که به مهاجمان امکان می‌دهد تا به‌طور مخفیانه احراز هویت سیستم را دور بزنند و به SSH مداوم دسترسی پیدا کنند.»

ماژول‌های احراز هویت قابل اتصال به مجموعه‌ای از کتابخانه‌های مشترک اشاره دارد که برای مدیریت احراز هویت کاربر در برنامه‌ها و سرویس‌ها در سیستم‌های مبتنی بر لینوکس و یونیکس استفاده می‌شود.

با توجه به اینکه ماژول‌های PAM در فرآیندهای احراز هویت ممتاز بارگذاری می‌شوند، یک PAM سرکش می‌تواند سرقت اعتبارنامه‌های کاربر، دور زدن بررسی‌های احراز هویت و عدم شناسایی توسط ابزارهای امنیتی را فعال کند[۳].

این شرکت امنیت سایبری اعلام کرد که چندین مصنوعات Plague را که از ۲۹ ژوئیه ۲۰۲۴ در VirusTotal بارگذاری شده‌اند، کشف کرده است که هیچ‌یک از آن‌ها توسط موتورهای ضد بدافزار به‌عنوان مخرب شناسایی نشده‌اند. علاوه بر این، وجود چندین نمونه، نشان‌دهنده توسعه فعال این بدافزار توسط عوامل تهدید ناشناخته پشت آن است.

بدافزار Plague چهار ویژگی برجسته دارد: اعتبارنامه‌های استاتیک برای دسترسی پنهان، مقاومت در برابر تجزیه‌وتحلیل و مهندسی معکوس با استفاده از ضد اشکال‌زدایی و مبهم‌سازی رشته؛ و افزایش پنهان‌کاری با پاک کردن شواهد یک جلسه SSH.

این امر به نوبه خود با غیرفعال کردن متغیرهای محیطی مانند SSH_CONNECTION و SSH_CLIENT[4] با استفاده از unsetenv و هدایت [۵]HISTFILE به /dev/null برای جلوگیری از ثبت دستورات shell انجام می‌شود تا از به جا گذاشتن ردپای حسابرسی جلوگیری شود.

پزیه خاطرنشان کرد: “Plague عمیقاً در پشته احراز هویت ادغام می‌شود، از به‌روزرسانی‌های سیستم جان سالم به در می‌برد و تقریباً هیچ ردپایی از خود به جا نمی‌گذارد. این ویژگی‌ها، همراه با مبهم‌سازی لایه‌ای و دست‌کاری محیط، تشخیص آن را با استفاده از ابزارهای سنتی فوق‌العاده دشوار می‌کند.”

  منابع

[۱] https://www.nextron-systems.com/2025/08/01/plague-a-newly-discovered-pam-based-backdoor-for-linux

[۲] https://www.redhat.com/en/blog/pluggable-authentication-modules-pam

[۳] https://www.nextron-systems.com/2025/05/30/stealth-in-100-lines-analyzing-pam-backdoors-in-linux

[۴] https://en.wikibooks.org/wiki/OpenSSH/Client_Applications

[۵] https://www.redhat.com/en/blog/history-command

[۶] https://thehackernews.com/2025/08/new-plague-pam-backdoor-exposes.html