Το ερευνητικό εργαστήριο 360 Netlab ανέφερε την αναγνώριση νέου κακόβουλου λογισμικού για Linux, με την κωδική ονομασία RotaJakiro και συμπεριλαμβανομένης της υλοποίησης μιας κερκόπορτας που σας επιτρέπει να ελέγχετε το σύστημα. Το κακόβουλο λογισμικό θα μπορούσε να είχε εγκατασταθεί από επιτιθέμενους μετά από εκμετάλλευση ευπαθειών που δεν έχουν επιδιορθωθεί στο σύστημα ή μαντέψουν αδύναμους κωδικούς πρόσβασης.
Η κερκόπορτα ανακαλύφθηκε κατά την ανάλυση ύποπτης κίνησης από μια από τις διαδικασίες του συστήματος, που εντοπίστηκαν κατά την ανάλυση της δομής του botnet που χρησιμοποιήθηκε για την επίθεση DDoS. Πριν από αυτό, το RotaJakiro παρέμενε απαρατήρητο για τρία χρόνια· συγκεκριμένα, οι πρώτες απόπειρες σάρωσης αρχείων με κατακερματισμούς MD5 που ταιριάζουν με το εντοπισμένο κακόβουλο λογισμικό στην υπηρεσία VirusTotal χρονολογήθηκαν τον Μάιο του 2018.
Ένα από τα χαρακτηριστικά του RotaJakiro είναι η χρήση διαφορετικών τεχνικών καμουφλάζ όταν τρέχετε ως μη προνομιούχος χρήστης και root. Για να κρύψει την παρουσία του, το backdoor χρησιμοποίησε τα ονόματα διεργασιών systemd-daemon, session-dbus και gvfsd-helper, τα οποία, δεδομένης της ακαταστασίας των σύγχρονων διανομών Linux με κάθε είδους διαδικασίες εξυπηρέτησης, με την πρώτη ματιά φαινόταν θεμιτή και δεν κινούσε υποψίες.
Όταν εκτελούνται με δικαιώματα ρίζας, τα σενάρια /etc/init/systemd-agent.conf και /lib/systemd/system/sys-temd-agent.service δημιουργήθηκαν για την ενεργοποίηση του κακόβουλου λογισμικού και το ίδιο το κακόβουλο εκτελέσιμο αρχείο εντοπίστηκε ως / bin/systemd/systemd -daemon και /usr/lib/systemd/systemd-daemon (η λειτουργικότητα αντιγράφηκε σε δύο αρχεία). Όταν εκτελείται ως τυπικός χρήστης, χρησιμοποιήθηκε το αρχείο αυτόματης εκκίνησης $HOME/.config/au-tostart/gnomehelper.desktop και έγιναν αλλαγές στο .bashrc και το εκτελέσιμο αρχείο αποθηκεύτηκε ως $HOME/.gvfsd/.profile/gvfsd -helper και $HOME/ .dbus/sessions/session-dbus. Και τα δύο εκτελέσιμα αρχεία εκκινήθηκαν ταυτόχρονα, καθένα από τα οποία παρακολουθούσε την παρουσία του άλλου και το επαναφέρει εάν τερματιζόταν.
Για την απόκρυψη των αποτελεσμάτων των δραστηριοτήτων τους στο backdoor, χρησιμοποιήθηκαν αρκετοί αλγόριθμοι κρυπτογράφησης, για παράδειγμα, ο AES χρησιμοποιήθηκε για την κρυπτογράφηση των πόρων τους και ένας συνδυασμός AES, XOR και ROTATE σε συνδυασμό με συμπίεση χρησιμοποιώντας ZLIB χρησιμοποιήθηκε για την απόκρυψη του καναλιού επικοινωνίας με τον διακομιστή ελέγχου.
Για να λάβει εντολές ελέγχου, το κακόβουλο λογισμικό επικοινώνησε με 4 τομείς μέσω της θύρας δικτύου 443 (το κανάλι επικοινωνίας χρησιμοποιούσε το δικό του πρωτόκολλο, όχι HTTPS και TLS). Οι τομείς (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com και news.thaprior.net) καταχωρήθηκαν το 2015 και φιλοξενήθηκαν από τον πάροχο φιλοξενίας του Κιέβου Deltahost. Στο backdoor ενσωματώθηκαν 12 βασικές λειτουργίες, οι οποίες επέτρεψαν τη φόρτωση και την εκτέλεση πρόσθετων με προηγμένη λειτουργικότητα, τη μετάδοση δεδομένων συσκευής, την υποκλοπή ευαίσθητων δεδομένων και τη διαχείριση τοπικών αρχείων.
Πηγή: opennet.ru