Výskumníci odhaľujú skrytý linuxový malvér, ktorý zostal nezistený 3 rokov

Predtým nezdokumentovaný linuxový malvér s funkciami backdoor dokázal zostať pod radarom približne tri roky, čo umožnilo aktérovi hrozby, ktorý stojí za operáciou, zbierať a exfiltrovať citlivé informácie z infikovaných systémov.

Zadné vrátka, nazývané „RotaJakiro“ od výskumníkov z Qihoo 360 NETLAB, sa zameriavajú na počítače so systémom Linux X64 a sú pomenované podľa skutočnosti, že „rodina používa rotačné šifrovanie a pri spúšťaní sa správa inak pre účty typu root/non-root“.

Zistenia pochádzajú z analýzy vzorky malvéru, ktorú zistila 25. marca, aj keď sa zdá, že skoré verzie boli do VirusTotal nahrané už v máji 2018. V databáze sa k dnešnému dňu našli celkom štyri vzorky, z ktorých všetky zostali nezistené väčšinou antimalvérových motorov. V čase písania iba sedem predajcov zabezpečenia označilo najnovšiu verziu malvéru za škodlivú.

“Na funkčnej úrovni RotaJakiro najprv určí, či je používateľ root alebo non-root v čase spustenia, s rôznymi politikami vykonávania pre rôzne účty, potom dešifruje príslušné citlivé zdroje pomocou AES& ROTATE pre následné zotrvanie, ochranu procesov a použitie jedinej inštancie.” a nakoniec nadviaže komunikáciu s C2 a čaká na vykonanie príkazov vydaných C2,“ vysvetlili vedci.

RotaJakiro je navrhnutý s ohľadom na utajenie, pričom sa spolieha na kombináciu kryptografických algoritmov na šifrovanie svojej komunikácie so serverom príkazového a riadiaceho systému (C2), okrem toho, že má podporu pre 12 funkcií, ktoré sa starajú o zhromažďovanie metadát zariadení a kradnutie citlivých informácií. , vykonávanie operácií súvisiacich so súbormi a sťahovanie a spúšťanie zásuvných modulov stiahnutých zo servera C2.

Ale bez dôkazov, ktoré by objasnili povahu doplnkov, zostáva skutočný zámer kampane proti malvéru nejasný. Je zaujímavé, že niektoré z domén C2 boli zaregistrované až do decembra 2015, pričom výskumníci tiež pozorovali prekrývanie medzi RotaJakiro a botnetom s názvom Torii.

„Z pohľadu reverzného inžinierstva zdieľajú RotaJakiro a Torii podobné štýly: používanie šifrovacích algoritmov na skrytie citlivých zdrojov, implementácia skôr starého štýlu perzistencie, štruktúrovaná sieťová prevádzka atď.,“ uviedli vedci. “Nepoznáme presne odpoveď, ale zdá sa, že RotaJakiro a Torii majú nejaké spojenie.”