Istraživački laboratorij 360 Netlab izvijestio je o identifikaciji novog zlonamjernog softvera za Linux kodnog naziva RotaJakiro koji uključuje implementaciju stražnjih vrata koja vam omogućuju kontrolu sustava. Zlonamjerni softver mogli su instalirati napadači nakon što su iskoristili nezakrpane ranjivosti u sustavu ili pogađali slabe lozinke.
Backdoor je otkriven tijekom analize sumnjivog prometa jednog od procesa sustava, identificiranog tijekom analize strukture botneta korištenog za DDoS napad. Prije toga, RotaJakiro je ostao neotkriven tri godine; posebice, prvi pokušaji skeniranja datoteka s MD5 hashovima koji odgovaraju identificiranom zlonamjernom softveru u usluzi VirusTotal datirani su u svibnju 2018.
Jedna od značajki RotaJakiro je korištenje različitih tehnika kamuflaže kada se pokreće kao neprivilegirani korisnik i root. Kako bi sakrio svoju prisutnost, backdoor je koristio nazive procesa systemd-daemon, session-dbus i gvfsd-helper, koji su, s obzirom na pretrpanost modernih Linux distribucija kojekakvim servisnim procesima, na prvi pogled djelovali legitimno i nisu izazivali sumnju.
Kada se pokreću s root pravima, skripte /etc/init/systemd-agent.conf i /lib/systemd/system/sys-temd-agent.service stvorene su za aktivaciju zlonamjernog softvera, a sama zlonamjerna izvršna datoteka locirana je kao / bin/systemd/systemd -daemon i /usr/lib/systemd/systemd-daemon (funkcionalnost je duplicirana u dvije datoteke). Kada se pokreće kao standardni korisnik, korištena je datoteka za automatsko pokretanje $HOME/.config/au-tostart/gnomehelper.desktop i napravljene su promjene u .bashrc, a izvršna datoteka je spremljena kao $HOME/.gvfsd/.profile/gvfsd -helper i $HOME/ .dbus/sessions/session-dbus. Obje izvršne datoteke pokrenute su istovremeno, od kojih je svaka pratila prisutnost one druge i vraćala ju je u prethodno stanje ako se prekine.
Kako bi sakrili rezultate svojih aktivnosti u backdooru, korišteno je nekoliko algoritama enkripcije, primjerice AES je korišten za šifriranje svojih resursa, a kombinacija AES, XOR i ROTATE u kombinaciji s kompresijom pomoću ZLIB-a korištena je za skrivanje komunikacijskog kanala. s kontrolnim poslužiteljem.
Kako bi primio kontrolne naredbe, zlonamjerni je softver kontaktirao 4 domene putem mrežnog priključka 443 (komunikacijski kanal koristio je vlastiti protokol, a ne HTTPS i TLS). Domene (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com i news.thaprior.net) registrirane su 2015. godine, a domaćin im je kijevski hosting provider Deltahost. U backdoor je integrirano 12 osnovnih funkcija koje su omogućile učitavanje i izvršavanje dodataka s naprednom funkcionalnošću, prijenos podataka uređaja, presretanje osjetljivih podataka i upravljanje lokalnim datotekama.
Izvor: opennet.ru