מעבדת המחקר 360 Netlab דיווחה על זיהוי של תוכנות זדוניות חדשות עבור לינוקס, בשם הקוד RotaJakiro וכוללת הטמעה של דלת אחורית המאפשרת לך לשלוט במערכת. התוקפים יכלו להתקין את התוכנה הזדונית לאחר ניצול פגיעויות לא מתוקנות במערכת או ניחוש סיסמאות חלשות.
הדלת האחורית התגלתה במהלך ניתוח תעבורה חשודה מאחד מתהליכי המערכת, שזוהתה במהלך ניתוח מבנה הבוטנט המשמש למתקפת DDoS. לפני כן, RotaJakiro לא זוהה במשך שלוש שנים; בפרט, הניסיונות הראשונים לסרוק קבצים עם hashes של MD5 התואמים לתוכנה הזדונית שזוהתה בשירות VirusTotal היו ממאי 2018.
אחת התכונות של RotaJakiro היא השימוש בטכניקות הסוואה שונות כאשר פועלים כמשתמש ושורש ללא פריבילגיה. כדי להסתיר את נוכחותה, הדלת האחורית השתמשה בשמות התהליך systemd-daemon, session-dbus ו-gvfsd-helper, שבהתחשב בעומס של הפצות לינוקס מודרניות עם כל מיני תהליכי שירות, במבט ראשון נראה לגיטימי ולא עורר חשד.
בעת הפעלה עם זכויות שורש, הסקריפטים /etc/init/systemd-agent.conf ו-/lib/systemd/system/sys-temd-agent.service נוצרו כדי להפעיל את התוכנה הזדונית, וקובץ ההפעלה הזדוני עצמו אותר כ- / bin/systemd/systemd -daemon ו-/usr/lib/systemd/systemd-daemon (הפונקציונליות שוכפלה בשני קבצים). כאשר פועל כמשתמש רגיל, נעשה שימוש בקובץ ההפעלה האוטומטי $HOME/.config/au-tostart/gnomehelper.desktop ובוצעו שינויים ב-.bashrc, וקובץ ההפעלה נשמר כ-$HOME/.gvfsd/.profile/gvfsd -helper ו-$HOME/ .dbus/sessions/session-dbus. שני קבצי ההפעלה הושקו בו-זמנית, שכל אחד מהם ניטר את נוכחותו של השני ושחזר אותו אם זה יסתיים.
כדי להסתיר את תוצאות הפעילות שלהם בדלת האחורית, נעשה שימוש במספר אלגוריתמי הצפנה, למשל, נעשה שימוש ב-AES להצפנת המשאבים שלהם, ושילוב של AES, XOR ו- ROTATE בשילוב עם דחיסה באמצעות ZLIB שימש להסתרת ערוץ התקשורת עם שרת הבקרה.
כדי לקבל פקודות בקרה, התוכנה הזדונית יצרה קשר עם 4 דומיינים דרך יציאת רשת 443 (ערוץ התקשורת השתמש בפרוטוקול משלו, לא ב-HTTPS וב-TLS). הדומיינים (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com ו-news.thaprior.net) נרשמו בשנת 2015 והתארחו על ידי ספקית האירוח של קייב Deltahost. 12 פונקציות בסיסיות שולבו בדלת האחורית, שאפשרו טעינה וביצוע של תוספים עם פונקציונליות מתקדמת, העברת נתוני מכשירים, יירוט נתונים רגישים וניהול קבצים מקומיים.
מקור: OpenNet.ru