Laboratorium badawcze 360 Netlab poinformowało o odkryciu nowego złośliwego oprogramowania dla Linux, o nazwie kodowej RotaJakiro, zawiera backdoor umożliwiający kontrolę nad systemem. Szkodliwe oprogramowanie mogło zostać zainstalowane przez atakujących wykorzystujących niezałatane luki w zabezpieczeniach systemu lub atakujących metodą brute-force słabe hasła.
Tylną furtkę odkryto podczas analizy podejrzanego ruchu z procesu systemowego wykrytego podczas demontażu botnetu wykorzystywanego do ataku DDoS. Wcześniej RotaJakiro pozostawał niewykryty przez trzy lata. Dokładniej, pierwsze próby skanowania plików z haszami MD5 pasującymi do wykrytego złośliwego oprogramowania w VirusTotal podjęto w maju 2018 roku.
Cechą charakterystyczną RotaJakiro jest stosowanie różnych technik kamuflażu podczas działania z uprawnieniami użytkownika nieuprawnionego i roota. Aby ukryć swoją obecność, backdoor używał nazw procesów systemd-daemon, session-dbus i gvfsd-helper, co, biorąc pod uwagę gąszcz współczesnych dystrybucji, Linux wszelkiego rodzaju oficjalne procesy na pierwszy rzut oka wydawały się uzasadnione i nie budziły podejrzeń.
Uruchomiony z uprawnieniami roota, skrypty /etc/init/systemd-agent.conf i /lib/systemd/system/sys-temd-agent.service zostały utworzone w celu aktywacji złośliwego oprogramowania, a sam złośliwy plik wykonywalny znajdował się w /bin/systemd/systemd-daemon i /usr/lib/systemd/systemd-daemon (funkcjonalność była zduplikowana w obu plikach). Uruchomiony ze standardowymi uprawnieniami użytkownika, użyto pliku autostartu $HOME/.config/au-tostart/gnomehelper.desktop, wprowadzono zmiany w pliku .bashrc, a plik wykonywalny został zapisany jako $HOME/.gvfsd/.profile/gvfsd-helper i $HOME/.dbus/sessions/session-dbus. Oba pliki wykonywalne zostały uruchomione jednocześnie, monitorując wzajemnie swoją obecność i przywracając działanie po jego zamknięciu.
Aby ukryć wyniki swojej działalności, backdoor używał kilku algorytmów szyfrujących, np. AES służył do szyfrowania zasobów i ukrywania kanału komunikacji z kontrolerem. serwer kombinacja AES, XOR i ROTATE z kompresją przy użyciu ZLIB.
Aby odbierać polecenia sterujące, złośliwe oprogramowanie uzyskało dostęp do czterech domen przez port sieciowy 443 (kanał komunikacyjny korzystał z własnego protokołu, a nie HTTPS ani TLS). Domeny (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com i news.thaprior.net) zostały zarejestrowane w 2015 roku i hostowane przez kijowską firmę dostawca hostingu Deltahost. Backdoor integrował 12 podstawowych funkcji, które umożliwiały ładowanie i uruchamianie wtyczek o zaawansowanej funkcjonalności, przesyłanie danych z urządzenia, przechwytywanie poufnych danych i zarządzanie plikami lokalnymi.
Źródło: opennet.ru
