روتكيت جديد يُدعى LinkPro يستهدف أنظمة GNU/Linux، مستخدماً تقنية eBPF لإخفاء الأنشطة الضارة وتجنب الكشف. تم اكتشافه في بنية AWS المخترقة، وينتشر عبر خوادم Jenkins الضعيفة وصور Docker الضارة. يوفر البرمجيات الضارة للمهاجمين وصولاً عن بعد بينما يتنكر كمكونات نظام شرعية.
ظهر روتكيت LinkPro كتهديد متطور لأنظمة GNU/Linux، مستفيداً من وحدات مرشح حزم بركلي الممتد (eBPF) لإخفاء العمليات والملفات وأنشطة الشبكة. اكتشفه باحثو SynAcktiv أثناء تحقيق جنائي لإعداد مخزن في AWS مخترق، حيث عمل كباب خلفي قادر على التنشيط عن بعد من خلال حزم TCP سحرية محددة.
تبدأ العدوى عادةً بخادم Jenkins مكشوف ضعيف أمام CVE-2024-23897. ثم ينشر المهاجمون صورة Docker ضارة تُدعى kvlnt/vv عبر مجموعات Amazon EKS Kubernetes. تشمل هذه الصورة وكيل VPN، وبرمجيات vGet التنزيل الضارة، وروتكيت LinkPro نفسه. يعمل الحاوية بصلاحيات الجذر، مما يمنح وصولاً كاملاً إلى نظام الملفات، مما يمكن الهروب لجمع المصادقات من حاويات أخرى.
مطور بلغة Golang، يعمل LinkPro في وضعين: وضع عكسي سلبي يستمع للأوامر بعد كشف حزمة TCP SYN بحجم نافذة 54321، ووضع أمامي نشط لروابط التحكم والأوامر المباشرة. يعتمد سريته على وحدتين eBPF—وحدة Hide تُعترض مكالمات النظام مثل getdents وsys_bpf لإخفاء الملفات والعمليات وبرامج eBPF، بينما تستخدم وحدة Knock XDP وTC للتلاعب بالشبكة، موجهاً الحركة إلى منفذ داخلي 2233 وإعادة كتابة الرؤوس لتجاوز الجدران النارية.
للاستمرارية، يتنكر LinkPro كخدمة systemd-resolved، إنشاء ملف وحدة مزيف في /etc/systemd/system/systemd-resolved.service ووضع ثنائيته في /usr/lib/.system/.tmp~data.resolved مع أوقات معدلة. إذا غابت دعم النواة لـ CONFIG_BPF_KPROBE_OVERRIDE، يلجأ إلى اختطاف الرابط الديناميكي عبر /etc/ld.so.preload.
بمجرد التنشيط، يقدم قذائف تفاعلية، إدارة الملفات، وكيل SOCKS5، واستخراج الملفات المشفرة بـ Base64 عبر بروتوكولات مثل HTTP وWebSocket وTCP وUDP وDNS، كلها مشفرة بـ XOR. يُنصح المنظمات بمراقبة ملفات systemd المشبوهة ونشاط eBPF للكشف.