في عالم الأمن السيبراني، تتزايد التهديدات بشكل مستمر، وأحدها هو الباب الخلفي الجديد PamDOORa الذي يستهدف أنظمة لينكس. في هذا المقال، نستعرض تفاصيل هذا الباب الخلفي وآثاره المحتملة.
تسرب بيانات جديدة عبر باب خلفي في لينكس: PamDOORa
كشف باحثو الأمن السيبراني عن تفاصيل باب خلفي جديد في لينكس يُدعى PamDOORa، الذي يتم الإعلان عنه في منتدى Rehub الروسي للجريمة الإلكترونية بسعر 1600 دولار من قبل جهة تهديد تُعرف باسم “darkworm”.
تم تصميم هذا الباب الخلفي كأداة ما بعد الاستغلال تعتمد على وحدة المصادقة القابلة للتوصيل (PAM) تتيح الوصول المستمر عبر SSH من خلال مجموعة معينة من كلمات المرور والمنافذ TCP. كما أنه قادر على جمع بيانات الاعتماد من جميع المستخدمين الشرعيين الذين يقومون بالمصادقة عبر النظام المخترق.
آلية عمل PamDOORa
قال الباحث في Flare.io، عساف مورا، في تقرير تقني: “الأداة، المسماة PamDOORa، هي باب خلفي جديد يعتمد على PAM، مصمم ليكون باب خلفي ما بعد الاستغلال، مما يتيح المصادقة على الخوادم عبر OpenSSH. يُزعم أنه سيبقى مستمرًا على أنظمة لينكس (x86_64).”
يُعتبر PamDOORa ثاني باب خلفي في لينكس بعد Plague يتم اكتشافه يستهدف مجموعة PAM خلال العام الماضي. PAM هو إطار أمان في أنظمة التشغيل Unix/Linux يمنح مديري النظام القدرة على دمج آليات مصادقة متعددة أو تحديثها (مثل الانتقال من كلمات المرور إلى القياسات الحيوية) في نظام موجود من خلال استخدام وحدات قابلة للتوصيل دون الحاجة لإعادة كتابة التطبيقات الحالية.
المخاطر المرتبطة بوحدات PAM
نظرًا لأن وحدات PAM تعمل عادةً بامتيازات الجذر، فإن الوحدة المخترقة أو المهيأة بشكل خاطئ أو الخبيثة يمكن أن تقدم مخاطر أمنية كبيرة وتفتح الباب لجمع بيانات الاعتماد والوصول غير المصرح به.
أشارت Group-IB في سبتمبر 2024 إلى أنه “على الرغم من قوتها، فإن مرونة وحدة المصادقة القابلة للتوصيل (PAM) تُدخل مخاطر، حيث يمكن أن تؤدي التعديلات الخبيثة على وحدات PAM إلى إنشاء أبواب خلفية أو سرقة بيانات اعتماد المستخدمين، خاصةً أن PAM لا تخزن كلمات المرور بل تنقل القيم بنص عادي”.
“يمكن استغلال وحدة pam_exec، التي تسمح بتنفيذ الأوامر الخارجية، من قبل المهاجمين للحصول على وصول غير مصرح به أو إنشاء تحكم مستمر عن طريق حقن سكربتات خبيثة في ملفات تكوين PAM.”
القدرات المضادة للطب الشرعي
كما أوضح البائع الأمني السنغافوري كيف يمكن التلاعب بتكوين PAM لمصادقة SSH لتنفيذ سكربت عبر pam_exec، مما يسمح لجهة خبيثة بالحصول على شل ذو امتيازات على المضيف وتسهيل الاستمرارية الخفية.
تظهر أحدث النتائج من Flare.io أن PamDOORa، بالإضافة إلى تمكين سرقة بيانات الاعتماد، تتضمن قدرات مضادة للطب الشرعي للتلاعب بشكل منهجي بسجلات المصادقة لمسح آثار النشاط الخبيث.
سلسلة العدوى المحتملة
على الرغم من عدم وجود دليل على أن البرمجيات الخبيثة قد تم استخدامها في هجمات حقيقية، من المحتمل أن تشمل سلاسل العدوى التي توزع البرمجيات الخبيثة أن يحصل الخصم أولاً على وصول الجذر إلى المضيف من خلال وسائل أخرى ونشر وحدة PamDOORa PAM لالتقاط بيانات الاعتماد وتأسيس وصول مستمر عبر SSH.
أخبر مورا The Hacker News أن PamDOORa تمت مقارنتها بعدة أبواب خلفية مشابهة تعتمد على PAM، بما في ذلك Plague. على الرغم من أنهم يتشاركون في نهج مشابه لتغيير سلوك PAM لتمكين التقاط بيانات الاعتماد، إلا أن “الاختلافات الصغيرة في التصميم” تشير إلى أن الباب الخلفي لا يتداخل مع أي منها. “لكن دون مقارنة الثنائيين، لا يمكننا استبعاد ذلك تمامًا”، أضاف مورا.
بعد سعر طلب أولي قدره 1600 دولار في 17 مارس 2026، خفضت شخصية “darkworm” السعر بنسبة تقارب 50% إلى 900 دولار اعتبارًا من 9 أبريل، مما يشير إما إلى نقص في اهتمام المشترين أو نية لتسريع البيع.
“يمثل PamDOORa تطورًا على أبواب PAM الخلفية مفتوحة المصدر الحالية”، شرح مورا. “بينما التقنيات الفردية (خطاطيف PAM، التقاط بيانات الاعتماد، التلاعب بالسجلات) موثقة جيدًا، فإن التكامل في غرسة متماسكة وقابلة للتوصيل مع تقنيات مضادة للتصحيح، ومحفزات واعية للشبكة، وخط أنابيب للبناء يضعها أقرب إلى أدوات من الدرجة المشغل مقارنةً بالسكربتات البدائية الموجودة في معظم المستودعات العامة.”
رابط المقالة: اضغط هنا
مع استمرار تطور التهديدات، من الضروري أن يبقى محترفو الأمن على اطلاع دائم بأحدث الأدوات والتقنيات. يجب أن تكون الحماية من مثل هذه التهديدات أولوية قصوى لضمان سلامة البيانات.
