Даследчая лабараторыя 360 Netlab паведаміла аб выяўленні новага шкоднаснага ПА для Linux, які атрымаў кодавае імя RotaJakiro і ўключае рэалізацыю бэкдора, які дазваляе кіраваць сістэмай. Шкоднаснае ПА магло быць усталявана атакавалымі пасля эксплуатацыі невыпраўленых уразлівасцяў у сістэме ці падбору ненадзейных пароляў.
Бэкдар быў знойдзены падчас аналізу падазронага трафіку ад аднаго з сістэмных працэсаў, выяўленага пры разборы структуры ботнэту, які выкарыстоўваецца для DDoS-напады. Да гэтага RotaJakiro заставаўся незаўважаным на працягу трох гадоў, у прыватнасці, першыя спробы праверкі ў сэрвісе VirusTotal файлаў з MD5-хэшамі, якія супадаюць з выяўленым шкоднасным ПА, датаваны траўнем 2018 гады.
З асаблівасцяў RotaJakiro называецца выкарыстанне розных тэхнік маскіроўкі пры запуску з правамі непрывілеяванага карыстальніка і root. Для ўтойвання сваёй прысутнасці бэкдор выкарыстаў імёны працэсаў systemd-daemon, session-dbus і gvfsd-helper, якія, з улікам загрувашчвання сучасных дыстрыбутываў Linux разнастайнымі службовымі працэсамі, на першы погляд здаваліся легітымнымі і не выклікалі падазрэнняў.
Пры запуску з правамі root для актывацыі шкоднаснага ПА ствараліся скрыпты /etc/init/systemd-agent.conf і /lib/systemd/system/sys-temd-agent.service, а сам шкоднасны выкананы файл размяшчаўся як /bin/systemd/systemd -daemon і /usr/lib/systemd/systemd-daemon (функцыянальнасць дублявалася ў двух файлах). Пры выкананні з правамі звычайнага карыстача выкарыстоўваўся файл аўтазапуску $HOME/.config/au-tostart/gnomehelper.desktop і ўносіліся змены ў .bashrc, а выкананы файл захоўваўся як $HOME/.gvfsd/.profile/gvfsd-helper і $HOME/ .dbus/sessions/session-dbus. Адначасова запускаліся абодва выкананых файла, кожны з якіх сачыў за наяўнасцю іншага і аднаўляў яго ў выпадку завяршэння працы.
Для ўтойвання вынікаў сваёй дзейнасці ў бэкдоры ўжывалася некалькі алгарытмаў шыфравання, напрыклад, для шыфравання сваіх рэсурсаў выкарыстоўваўся AES, а для ўтойвання канала сувязі з кіравальным серверам звязак з AES, XOR і ROTATE у спалучэнні са сціскам пры дапамозе ZLIB.
Для атрымання кіраўнікоў каманд шкоднаснае ПЗ звярталася да 4 даменаў праз сеткавы порт 443 (у канале сувязі выкарыстоўваўся свой пратакол, а не HTTPS і TLS). Дамены (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com і news.thaprior.net) былі зарэгістраваны ў 2015 годзе і размешчаны ў кіеўскага хостынг-правайдэра Deltahost. У бэкдор былі інтэграваныя 12 базавых функцый, якія дазвалялі загружаць і выконваць убудовы з пашыранай функцыянальнасцю, перадаваць дадзеныя аб прыладзе, перахапляць канфідэнцыйныя дадзеныя і кіраваць лакальнымі файламі.
Крыніца: opennet.ru