Trend Micro در مورد یک روت کیت جدید که دستگاه های لینوکسی را هدف قرار داده اخطار داده است. این روت کیت Umbreon  نام دارد و در دنیای پوکمون Umbreon نام موجودی است که در تاریکی پنهان می شود.

همانند هم اسم خود Umbreon همیشه در سایه است. پس از نصب اولیه آن، Umbreon یک حساب کاربری مخفی ایجاد می کند که مهاجم به وسیله آن می تواند از طریق SSH به دستگاه شما دسترسی پیدا کند.

این روت کیت برای حمله به طیف گسترده ای از دستگاه ها طراحی شده است که توانایی نفوذ به  لینوکس ها با معماری x86، x86-64 و ARM را دارد و حتی می تواند در سیستم های جاسازی شده مانند روتر نصب شود.

Trend Micro هشدار می دهد که Umbreon یک روت کیت حلقه 3 است. bulletin حلقه 3 را به شرح زیر تعریف می کند:

روت کیت های حلقه 3 (و یا usermode rootkit) کرنل آبجکت ها (kernel objects) را بر روی سیستم نصب نمی کند اما توابع کتابخانه های هسته را به دام می اندازد که عملیات مهمی مانند خواندن / نوشتن فایل ها، فرآیند تولید (spawning)  و یا ارسال بسته بر روی شبکه را انجام می دهند. این روت کیت کاملا برای جاسوسی و تغییر مسیر همه چیز حتی در حالت کاربر در یک سیستم عامل مناسب است.

در این مورد خاص، Umbreon خود را به عنوان یک glibc (کتابخانه GNU C) جا می زند. در واقع کتابخانه بارگذار را  بازنویسی می کند و اطمینان حاصل می کند که کتابخانه روت کیت هنگامی که یک برنامه کتابخانه ی libc را فراخوانی می کند قابل دسترسی است.

این روت کیت جدید در سایت های تبهکاری سایبری بسیار معروف شده است به خصوص در دارک وب. این روت کیت در سال 2015 توسعه پیدا کرده  اما خالق آن از سال 2013 فعال بوده است.

Trend Micro  می گوید که روت کیت به صورت دستی نصب می شود  و پس از آن هکر می تواند کنترل دستگاه لینوکسی را حتی از راه دور بدست بگیرد.

آنها می گویند که حذف روت کیت امکان پذیر است اما یک کاربر بی تجربه اگر اقدام به حذف روت کیت کند احتمال ایجاد خسارات دستگاه زیاد است.

در حالی که پچ ها متعددی برای امن کردن لینوکس دسکتاپ وجود دارد ولی هزاران سیستم جاسازی شده وجود دارد که هنوز هم در معرض این روت کیت قرار دارند. این حقیقتی است که باعث نگرانی من در مورد دستگاه های متصل به اینترنت می شود.