Výskumníci odhalili nový Linuxový malvér spojený s čínskymi hackermi

Výskumníci v oblasti kybernetickej bezpečnosti v stredu vrhli svetlo na nové sofistikované zadné vrátka zamerané na linuxové koncové body a servery, o ktorých sa predpokladá, že sú dielom čínskych národných štátnych aktérov.

Zadné vrátka, nazývané Intezer ako „RedXOR“, sa maskujú ako démon polkit, pričom sa našli podobnosti medzi malvérom a tými, ktoré boli predtým spojené so skupinou hrozieb Winnti Umbrella (alebo Axiom), ako sú PWNLNX, XOR.DDOS a Groundhog.

Meno RedXOR pochádza zo skutočnosti, že svoje sieťové údaje kóduje pomocou schémy založenej na XOR a že je skompilovaný pomocou starého kompilátora GCC na starom vydaní Red Hat Enterprise Linux, čo naznačuje, že malvér je nasadený v cielených útokoch proti staršiemu Linuxu. systémov.

Intezer uviedol, že dve vzorky malvéru boli nahrané z Indonézie a Taiwanu okolo 23. až 24. februára, obe krajiny, o ktorých je známe, že ich vyčlenili skupiny hrozieb so sídlom v Číne.

Okrem prekrývania, pokiaľ ide o celkový tok a funkcie a použitie kódovania XOR medzi RedXOR a ​PWNLNX, majú zadné vrátka formu neodstráneného 64-bitového súboru ELF (“po1kitd-update-k”), doplneného o typosquatted názov (“po1kitd” vs. “polkitd”), ktorý po spustení vytvorí skrytý adresár na ukladanie súborov súvisiacich s malvérom, skôr než sa sám nainštaluje do počítača.

Polkit (rodená PolicyKit) je súprava nástrojov na definovanie a spracovanie autorizácií a používa sa na umožnenie komunikácie neprivilegovaných procesov s privilegovanými procesmi.

Okrem toho sa malvér dodáva so šifrovanou konfiguráciou, ktorá obsahuje IP adresu a port príkazov a ovládania (C2) a heslo, ktoré potrebuje na overenie na serveri C2 pred nadviazaním spojenia cez soket TCP.

A čo viac, komunikácia nie je len maskovaná ako neškodný HTTP prenos, ale je tiež kódovaná oboma spôsobmi pomocou XOR šifrovacej schémy, ktorej výsledky sú dešifrované, aby odhalili presný príkaz, ktorý sa má spustiť.

RedXOR podporuje množstvo funkcií vrátane zhromažďovania systémových informácií (MAC adresa, používateľské meno, distribúcia, rýchlosť hodín, verzia jadra atď.), vykonávanie operácií so súbormi, vykonávanie príkazov so systémovými oprávneniami, spúšťanie ľubovoľných príkazov shellu a dokonca aj možnosti vzdialenej aktualizácie. malvéru.

Používatelia, ktorí sú obeťami RedXOR, môžu prijať ochranné opatrenia tým, že proces zabijú a odstránia všetky súbory súvisiace s malvérom.

Najnovší vývoj poukazuje na nárast počtu aktívnych kampaní zameraných na systémy Linux, čiastočne v dôsledku rozsiahleho prijatia operačného systému pre zariadenia internetu vecí, webové servery a cloudové servery, čo vedie útočníkov k portovaniu ich existujúcich Windows nástroje pre Linux alebo vývoj nových nástrojov, ktoré podporujú obe platformy.

„Niektorí z najvýznamnejších národných aktérov začleňujú do svojho arzenálu útočné schopnosti Linuxu a očakáva sa, že počet aj sofistikovanosť takýchto útokov sa časom zvýši,“ načrtli výskumníci spoločnosti Intezer v správe z roku 2020 mapujúcej posledné desaťročie Linux APT. útokov.