Perfctl: Phần mềm độc hại Linux âm thầm lây nhiễm hàng nghìn hệ thống

BigGo Editorial Team
Perfctl: Phần mềm độc hại Linux âm thầm lây nhiễm hàng nghìn hệ thống

Một loại phần mềm độc hại tinh vi có tên Perfctl đã âm thầm lây nhiễm các hệ thống Linux trong nhiều năm, có khả năng xâm nhập hàng nghìn máy tính. Các nhà nghiên cứu bảo mật từ Aqua Security gần đây đã phát hiện ra mối đe dọa này, vốn đã hoạt động từ ít nhất năm 2021.

Mối đe dọa đa diện

Perfctl không phải là một phần mềm độc hại thông thường. Đây là một công cụ đa năng trong tay của tội phạm mạng, có khả năng:

  1. Đào tiền điện tử
  2. Hoạt động như một proxy cho các tác nhân độc hại khác
  3. Tải thêm phần mềm độc hại vào các hệ thống bị nhiễm

Điều khiến Perfctl đặc biệt nguy hiểm là khả năng khai thác hơn 20.000 cấu hình sai phổ biến trong các hệ thống Linux. Bề mặt tấn công rộng lớn này đặt hàng triệu máy tính kết nối internet vào tình trạng rủi ro.

Ẩn mình và bền bỉ

Phần mềm độc hại này sử dụng một số kỹ thuật để tránh bị phát hiện:

  • Sử dụng tên tiến trình và tệp tin giống với các công cụ Linux hợp pháp
  • Cài đặt các thành phần dưới dạng rootkit
  • Thao túng các tiến trình hệ thống để ẩn lưu lượng độc hại
  • Ngăn chặn các thông báo lỗi có thể cảnh báo người dùng

Perfctl cũng có khả năng tồn tại đáng kinh ngạc. Nó sửa đổi các tập lệnh hệ thống để đảm bảo chạy khi khởi động và sao chép chính nó vào nhiều vị trí trên ổ đĩa. Ngay cả khi người dùng cố gắng xóa bỏ, phần mềm độc hại thường tìm cách tự khởi động lại.

Một minh họa về hoạt động và lập trình hệ thống, thể hiện cách phần mềm độc hại có thể hoạt động một cách bí mật trong các hệ thống Linux
Một minh họa về hoạt động và lập trình hệ thống, thể hiện cách phần mềm độc hại có thể hoạt động một cách bí mật trong các hệ thống Linux

Phương pháp khai thác

Kẻ tấn công triển khai Perfctl thông qua hai vector chính:

  1. Khai thác hàng nghìn cấu hình sai có thể xảy ra
  2. Lợi dụng CVE-2023-33426, một lỗ hổng nghiêm trọng trong Apache RocketMQ

Tác động và phạm vi

Mặc dù số lượng chính xác các hệ thống bị nhiễm chưa được xác định, các nhà nghiên cứu ước tính có thể lên đến hàng nghìn. Tuy nhiên, số lượng mục tiêu tiềm năng còn lớn hơn nhiều - có thể lên tới hàng triệu máy Linux dễ bị tấn công.

Bảo vệ hệ thống của bạn

Để bảo vệ chống lại Perfctl:

  • Luôn cập nhật tất cả các hệ thống và phần mềm, đặc biệt là Apache RocketMQ
  • Thường xuyên kiểm tra cấu hình hệ thống để phát hiện lỗ hổng
  • Theo dõi việc sử dụng CPU bất thường hoặc hệ thống chậm đi
  • Triển khai các biện pháp kiểm soát truy cập và xác thực mạnh mẽ

Khi Linux tiếp tục là lựa chọn phổ biến cho máy chủ và cơ sở hạ tầng đám mây, điều quan trọng là các quản trị viên hệ thống và đội ngũ bảo mật phải luôn cảnh giác trước các mối đe dọa đang phát triển như Perfctl.