قدمت مختبرات Elastic Security Labs تفاصيل تطور روتكيتات لينكس في سلسلة بحثية من جزئين نُشرت في 5 مارس 2026. تستغل هذه التهديدات الحديثة ميزات النواة مثل eBPF و io_uring للبقاء مخفية في بيئات السحابة و IoT والخوادم. يبرز البحث كيفية تجنب هذه الروتكيتات طرق الكشف التقليدية.
أصبحت روتكيتات لينكس تهديداً كبيراً للبنى التحتية الحديثة، خاصة مع الاعتماد المتزايد على لينكس في بيئات السحابة وتنسيق الحاويات وأجهزة إنترنت الأشياء والحوسبة عالية الأداء. كانت تركز تقليدياً على أنظمة ويندوز، لكن المهاجمين أعادوا توجيه انتباههم إلى لينكس، وطوروا روتكيتات تتلاعب بنظام التشغيل لإخفاء العمليات وإخفاء الملفات وإخفاء الاتصالات الشبكية وقمع وجودها في قوائم وحدات النواة. الهدف الرئيسي للروتكيت هو التمويه، مما يسمح بالوصول المطول إلى الأهداف ذات القيمة العالية مثل خوادم الحكومة وبنى الاتصالات ومزودي السحابة دون إثارة التنبيهات. تتبعت باحثو Elastic Security Labs هذا التطور عبر الأجيال: من اختطاف كائنات مشتركة في أوائل العقد الأول من القرن الحادي والعشرين، إلى زرع وحدات نواة قابلة للتحميل (LKM)، وصولاً إلى تقنيات التهرب القائمة على eBPF والمدعومة بـ io_uring. تشمل الأمثلة من العالم الحقيقي TripleCross و Boopkit و RingReaper، التي وثقت في 2025. eBPF، التي صُممت أصلاً كآلة افتراضية آمنة داخل النواة لتصفية الحزم والتتبع، تمكن المهاجمين من ربط استدعاءات النظام واعتراض أحداث النواة دون تحميل وحدات تقليدية. يمر هذا البايت كود عبر مدقق النواة ويتم تجميعه عبر JIT، مما يجعله يبدو شرعياً. ترتبط برامج eBPF بنقاط تتبع دخول استدعاءات النظام أو خطافات وحدة أمان لينكس (LSM) للرؤية في العمليات والملفات والشبكات. io_uring، التي أُدخلت في لينكس 5.1 للإدخال/الإخراج غير المتزامن عالي الأداء، تسمح بدفع العمليات عبر حلقات ذاكرة مشتركة، مما يقلل من أحداث استدعاءات النظام القابلة للملاحظة. هذا يعمي أدوات كشف واستجابة نقطة النهاية (EDR) التي تعتمد على مراقبة استدعاءات النظام. تفشل الأدوات التقليدية مثل rkhunter و chkrootkit ضد هذه، حيث لا تظهر زرعات eBPF في /proc/modules وتتجاوز Secure Boot. توصي Elastic بمراقبة استدعاءات io_uring_enter و io_uring_register غير الطبيعية، وتدقيق البرامج eBPF المحملة، واستخدام الطب الشرعي للذاكرة، وفحوصات سلامة النواة، وتيليمتري تحت الـ OS. يجب على المنظمات فرض قفل النواة، وتوقيع الوحدات، والتحديثات خارج الإصدار 6.9، الذي يعطل طرق الربط القديمة.
