Троянец, ворующий данные из Linux, три года оставался невидимым для любых антивирусов

- КиТ :: Будь в СЕТИ!

Обнаруженный бэкдор RotaJakiro использует многослойное шифрование для всех своих компонентов, и почти три года остается невидимым для антивирусов. Известно, что он умеет выводить данные из зараженных систем, но этим его функциональность явно не ограничивается.

Секретные материалы

Эксперты компании QihooNetlab 360 обнаружили вредонос-бэкдор под Linux, который почти три года оставался невидимым для антивирусных решений.

Первые сэмплы вредоноса RotaJakiro попали на VirusTotal еще в 2018 г., однако до сих пор антивирусы его не детектировали. Разработчики бэкдора очень многое сделали для того, чтобы он оставался невидимым как можно дольше.

Весь сетевой трафик вредоноса сжимается с помощью ZLib и шифруется с помощью сразу трех алгоритмов. Шифруются также данные внутри тела вредоноса и все ресурсы, которые он выгружает в зараженную систему. Это явно сделано для того, чтобы пресечь попытки анализа его кода и функциональности.

Антивирусы не замечали опасный бэкдор почти три года

RotaJakiro способен определять системные привилегии текущего пользователя: root или нет. В зависимости от этого, он использует разные способы запуска и по-разному обеспечивает устойчивое пребывание в системе.

Вопрос расширений

Операторы RotaJakiro могут использовать его для вывода системных данных и других значимых сведений и доустанавливать и запускать дополнительные плагины с разной функциональностью в 64-битных системах. О каких именно функциях идет речь, остается пока загадкой.

«RotaJakiro поддерживает 12 различных функций, три из которых связаны с запуском определенных плагинов. Однако мы не видели самих плагинов и потому не знаем их истинного назначения», — отметили авторы исследования. Открытым также остается вопрос, как именно RotaJakiro распространяется, и есть ли у него какая-то особенная цель и приоритетная мишень».

«Вероятно, это намек на то, что RotaJakiro может быть лишь компонентом более широкого набора хакерских инструментов, который не ограничивается самим бэкдором и его плагинами, — полагает Алексей Водясов, технический директор компании SECConsultServices. — Впрочем, без информации о том, на что способны необнаруженные плагины, это лишь предположения. Хотя и не лишенные смысла: разработчики явно очень много ресурсов вложили в то, чтобы сделать RotaJakiro максимально неуловимым. Наверняка это делалось с расчетом на широкий спектр вероятных атак».

С 2018 г. на VirusTotal были загружены в общей сложности четыре сэмпла вредоноса — антивирусы игнорировали их всех. Теперь ситуация, вероятно, изменится.

Интересно, что контрольные серверы, выявленные специалистами Qihoo 360, были запущены в 2015 г. По мнению экспертов, RotaJakiro использует ту же инфраструктуру, что и ботнет интернета вещей Torii, впервые замеченный в сентябре 2018 г.

Torii и RotaJakiro выполняют одни и те же команды после изначальной компрометации целевой системы, имеют похожую структуру и используют одни и те же константы. Вероятнее всего, речь идет о разработках одной и той же группировки.

ПодпискаБудь в СЕТИ! Новости социальных сетей - всегда актуальное
Группы: ВК|OK|Tg