Троянец, ворующий данные из Linux, три года оставался невидимым для любых антивирусов
Источник: CNews.
Секретные материалы
Эксперты компании QihooNetlab 360 обнаружили вредонос-бэкдор под Linux, который почти три года оставался невидимым для антивирусных решений.
Первые сэмплы вредоноса RotaJakiro попали на VirusTotal еще в 2018 г., однако до сих пор антивирусы его не детектировали. Разработчики бэкдора очень многое сделали для того, чтобы он оставался невидимым как можно дольше.
Весь сетевой трафик вредоноса сжимается с помощью ZLib и шифруется с помощью сразу трех алгоритмов. Шифруются также данные внутри тела вредоноса и все ресурсы, которые он выгружает в зараженную систему. Это явно сделано для того, чтобы пресечь попытки анализа его кода и функциональности.
RotaJakiro способен определять системные привилегии текущего пользователя: root или нет. В зависимости от этого, он использует разные способы запуска и по-разному обеспечивает устойчивое пребывание в системе.
Вопрос расширений
Операторы RotaJakiro могут использовать его для вывода системных данных и других значимых сведений и доустанавливать и запускать дополнительные плагины с разной функциональностью в 64-битных системах. О каких именно функциях идет речь, остается пока загадкой.
«RotaJakiro поддерживает 12 различных функций, три из которых связаны с запуском определенных плагинов. Однако мы не видели самих плагинов и потому не знаем их истинного назначения», — отметили авторы исследования. Открытым также остается вопрос, как именно RotaJakiro распространяется, и есть ли у него какая-то особенная цель и приоритетная мишень».
«Вероятно, это намек на то, что RotaJakiro может быть лишь компонентом более широкого набора хакерских инструментов, который не ограничивается самим бэкдором и его плагинами, — полагает Алексей Водясов, технический директор компании SECConsultServices. — Впрочем, без информации о том, на что способны необнаруженные плагины, это лишь предположения. Хотя и не лишенные смысла: разработчики явно очень много ресурсов вложили в то, чтобы сделать RotaJakiro максимально неуловимым. Наверняка это делалось с расчетом на широкий спектр вероятных атак».
С 2018 г. на VirusTotal были загружены в общей сложности четыре сэмпла вредоноса — антивирусы игнорировали их всех. Теперь ситуация, вероятно, изменится.
Интересно, что контрольные серверы, выявленные специалистами Qihoo 360, были запущены в 2015 г. По мнению экспертов, RotaJakiro использует ту же инфраструктуру, что и ботнет интернета вещей Torii, впервые замеченный в сентябре 2018 г.
Torii и RotaJakiro выполняют одни и те же команды после изначальной компрометации целевой системы, имеют похожую структуру и используют одни и те же константы. Вероятнее всего, речь идет о разработках одной и той же группировки.