Uurimislabor 360 Netlab teatas Linuxi jaoks uue pahavara tuvastamisest, koodnimega RotaJakiro ja mis sisaldab süsteemi juhtida võimaldava tagaukse rakendamist. Ründajad võisid pahavara installida pärast seda, kui nad olid ära kasutanud süsteemis paigatamata turvaauke või ära arvanud nõrku paroole.
Tagauks avastati ühe süsteemiprotsessi kahtlase liikluse analüüsimisel, mis tuvastati DDoS-i rünnakuks kasutatud botneti struktuuri analüüsimisel. Enne seda jäi RotaJakiro avastamata kolm aastat; eelkõige tehti esimesed katsed skaneerida VirusTotali teenuses tuvastatud pahavaraga kattuvaid MD5-räsi faile 2018. aasta mais.
RotaJakiro üks omadusi on erinevate kamuflaažitehnikate kasutamine privilegeerimata kasutaja ja rootina töötades. Oma kohaloleku varjamiseks kasutas tagauks protsessinimesid systemd-daemon, session-dbus ja gvfsd-helper, mis, arvestades tänapäevaste Linuxi distributsioonide segadust kõikvõimalike teenindusprotsessidega, tundus esmapilgul õigustatud ega äratanud kahtlust.
Juurõigustega käivitamisel loodi pahavara aktiveerimiseks skriptid /etc/init/systemd-agent.conf ja /lib/systemd/system/sys-temd-agent.service ning pahatahtlik käivitatav fail ise asus kui / bin/systemd/systemd -daemon ja /usr/lib/systemd/systemd-daemon (funktsioonid dubleeriti kahes failis). Tavakasutajana töötades kasutati automaatkäivitusfaili $HOME/.config/au-tostart/gnomehelper.desktop ja tehti muudatusi failis .bashrc ning käivitatav fail salvestati $HOME/.gvfsd/.profile/gvfsd -helper ja $HOME/ .dbus/sessions/session-dbus. Mõlemad käivitatavad failid käivitati samaaegselt, millest igaüks jälgis teise olemasolu ja taastas selle, kui see katkes.
Oma tegevuse tulemuste tagaukses peitmiseks kasutati mitmeid krüpteerimisalgoritme, näiteks kasutati oma ressursside krüpteerimiseks AES-i ning sidekanali peitmiseks kombinatsiooni AES, XOR ja ROTATE kombinatsioonis kompressiooniga ZLIB-i abil. koos juhtserveriga.
Juhtkäskude saamiseks võttis pahavara ühendust 4 domeeniga võrgupordi 443 kaudu (sidekanal kasutas oma protokolli, mitte HTTPS ja TLS). Domeenid (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com ja news.thaprior.net) registreeriti 2015. aastal ja neid majutas Kiievi hostingu pakkuja Deltahost. Tagauksesse integreeriti 12 põhifunktsiooni, mis võimaldasid laadida ja käivitada täiustatud funktsionaalsusega pluginaid, edastada seadme andmeid, pealtkuulada tundlikke andmeid ja hallata kohalikke faile.
Allikas: opennet.ru