Ivan JAKIĆ

4. oktobar 2024.

Sofisticirani malver, poznat kao Perfctl, je identifikovan u zabrinjavajućim okolnostima za korisnike Linux platforme, jer predstavlja ozbiljnu pretnju zbog svoje svestranosti i sposobnosti prikrivanja. Perfctl je otkriven od strane istraživača iz kompanije Aqua Security, a aktivan je čak od 2021. godine, iskorišćavajući preko dvadeset hiljada uobičajenih pogrešnih konfiguracija kako bi se infiltrirao u sisteme. Tiha „ćud” potencijalno ugrožava milione mašina povezanih na internet, čineći ovaj malver dostojnim protivnikom stručnjacima u domenu sajber–bezbednosti.  

Perfctl je osuđen i ozloglašen zbog svoje sposobnosti da iskoristi kritičnu manu u CVE-2023-33426 zakrpi Apache RocketMQ platforme. Uprkos zakrpi iz prethodne godine, mnogi sistemi su ostali ranjivi, pružajući ulaznu tačku zloćudnom malveru. Nakon instalacije, Perfctl se upušta u niz zlonamernih aktivnosti, uključujući rudarenje kriptovaluta i proxy–jacking – proces preusmeravanja internet saobraćaja radi profita.  

Malver se prikriva korišćenjem nekoliko sofisticiranih tehnika. Prvo se maskira koristeći nazive procesa i datoteka koji oponašaju legitimnu Linux nomenklaturu, otežavajući detekciju. Nakon uspešnog „upada”, svoje prisustvo od operativnog sistema nastavlja da krije korišćenjem rootkit i administrativnih alatki. Kako bi se potpuno kamuflirao, takođe koristi Unix socket preko TOR protokola za sigurne spoljne komunikacije, dok svoj instalacioni binarni fajl, nakon izvršenja, automatski briše.

Još jedna karakteristika koja osigurava i omogućava opstanak na sistemu, čak i nakon pokušaja uklanjanja, jeste postojanost koja se postiže modifikacijom ~/.profile konfiguracionog fajla i kopiranjem na više lokacija na disku. Pomenuta datoteka je odabrana jer se učitava pre legitimnih procesa pri „podizanju” sistema. 

Istraživanja o malveru su, za sada, oskudna, iako neki antivirusni softveri detektuju Perfctl. Brojne prepiske na forumima ukazuju na široko rasprostranjene infekcije, gde korisnici prijavljuju probleme poput neobjašnjivih skokova u utilizaciji procesora prećen usporavanjem sistema. Zaštita podrazumeva praćenje neuobičajenih „ispada” sistema i instalacija svih softverskih zakrpa, posebno istaknutih poput CVE-2023-33426. Aqua Security izveštaj pruža dodatne smernice za identifikaciju i prevenciju infekcija, naglašavajući važnost u održavanju bezbednosti sistema, bez obzira što je sistem GNU/Linux.