Հետազոտական 360 Netlab լաբորատորիան հայտնել է Linux-ի համար նոր չարամիտ ծրագրի նույնականացման մասին, որը կոչվում է RotaJakiro, որը ներառում է հետին դռան ներդրում, որը թույլ է տալիս կառավարել համակարգը: Չարամիտ ծրագիրը կարող էր տեղադրվել հարձակվողների կողմից՝ համակարգում չփակված խոցելիությունները շահագործելուց կամ թույլ գաղտնաբառերը գուշակելուց հետո:
Հետևի դուռը հայտնաբերվել է համակարգային գործընթացներից մեկի կասկածելի թրաֆիկի վերլուծության ժամանակ, որը հայտնաբերվել է DDoS հարձակման համար օգտագործվող բոտնետի կառուցվածքի վերլուծության ժամանակ: Մինչ այս, RotaJakiro-ն երեք տարի անհայտ մնաց, մասնավորապես, VirusTotal ծառայության մեջ հայտնաբերված չարամիտ ծրագրերին համապատասխանող MD5 հեշերով ֆայլեր սկանավորելու առաջին փորձերը թվագրվել են 2018 թվականի մայիսին:
RotaJakiro-ի առանձնահատկություններից մեկը քողարկման տարբեր տեխնիկայի օգտագործումն է, երբ աշխատում է որպես ոչ արտոնյալ օգտվող և արմատ: Իր ներկայությունը թաքցնելու համար backdoor-ն օգտագործեց systemd-daemon, session-dbus և gvfsd-helper պրոցեսի անունները, որոնք, հաշվի առնելով ժամանակակից Linux բաշխումների խառնաշփոթը բոլոր տեսակի սպասարկման գործընթացներով, առաջին հայացքից օրինական թվաց և կասկածներ չհարուցեց:
Երբ գործարկվում է արմատային իրավունքներով, սկրիպտները /etc/init/systemd-agent.conf և /lib/systemd/system/sys-temd-agent.service ստեղծվել են չարամիտ ծրագիրն ակտիվացնելու համար, իսկ չարամիտ գործարկվող ֆայլն ինքը գտնվում էր որպես /: bin/systemd/systemd -daemon և /usr/lib/systemd/systemd-daemon (ֆունկցիոնալությունը կրկնօրինակվել է երկու ֆայլում): Որպես ստանդարտ օգտատեր աշխատելիս ավտոմատ մեկնարկային $HOME/.config/au-tostart/gnomehelper.desktop ֆայլը օգտագործվել է, և փոփոխություններ են կատարվել .bashrc-ում, և գործարկվող ֆայլը պահվել է որպես $HOME/.gvfsd/.profile/gvfsd: -օգնական և $HOME/ .dbus/sessions/session-dbus: Երկու գործարկվող ֆայլերը գործարկվեցին միաժամանակ, որոնցից յուրաքանչյուրը վերահսկում էր մյուսի առկայությունը և վերականգնում այն, եթե այն դադարեցվի:
Իրենց գործունեության արդյունքները հետնախորշում թաքցնելու համար օգտագործվել են մի քանի գաղտնագրման ալգորիթմներ, օրինակ՝ AES-ը՝ դրանց ռեսուրսները գաղտնագրելու համար, իսկ AES, XOR և ROTATE-ի համակցությունը՝ ZLIB-ի միջոցով սեղմման հետ համատեղ՝ կապի ալիքը թաքցնելու համար։ կառավարման սերվերի հետ:
Կառավարման հրամաններ ստանալու համար չարամիտ ծրագիրը կապվել է 4 տիրույթների հետ ցանցի 443 պորտի միջոցով (հաղորդակցման ալիքն օգտագործել է իր սեփական արձանագրությունը, այլ ոչ թե HTTPS և TLS): Դոմենները (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com և news.thaprior.net) գրանցվել են 2015 թվականին և հյուրընկալվել են Կիևի հոսթինգ մատակարարի՝ Deltahost-ի կողմից։ Հետևի դռան մեջ ինտեգրվել են 12 հիմնական գործառույթներ, որոնք թույլ են տվել բեռնել և գործարկել առաջադեմ ֆունկցիոնալությամբ պլագիններ, սարքի տվյալները փոխանցել, զգայուն տվյալներ գաղտնալսել և կառավարել տեղական ֆայլերը:
Source: opennet.ru