Laboratorium badawcze 360 Netlab poinformowało o identyfikacji nowego szkodliwego oprogramowania dla systemu Linux o kryptonimie RotaJakiro, obejmującego wdrożenie backdoora umożliwiającego kontrolę nad systemem. Szkodliwe oprogramowanie mogło zostać zainstalowane przez osoby atakujące po wykorzystaniu niezałatanych luk w systemie lub odgadnięciu słabych haseł.
Backdoora wykryto podczas analizy podejrzanego ruchu z jednego z procesów systemowych, zidentyfikowanego podczas analizy struktury botnetu użytego do ataku DDoS. Wcześniej RotaJakiro pozostawał niewykryty przez trzy lata, w szczególności pierwsze próby skanowania plików o skrótach MD5 odpowiadających zidentyfikowanemu szkodliwemu programowi w serwisie VirusTotal miały miejsce w maju 2018 roku.
Jedną z cech RotaJakiro jest wykorzystanie różnych technik kamuflażu podczas uruchamiania jako użytkownik nieuprzywilejowany i root. Aby ukryć swoją obecność, backdoor używał nazw procesów systemd-daemon, session-dbus i gvfsd-helper, co, biorąc pod uwagę bałagan współczesnych dystrybucji Linuksa z różnego rodzaju procesami usługowymi, na pierwszy rzut oka wydawało się uzasadnione i nie budziło podejrzeń.
Po uruchomieniu z uprawnieniami roota utworzono skrypty /etc/init/systemd-agent.conf i /lib/systemd/system/sys-temd-agent.service w celu aktywacji złośliwego oprogramowania, a sam złośliwy plik wykonywalny znajdował się jako / bin/systemd/systemd -daemon i /usr/lib/systemd/systemd-daemon (funkcjonalność została zduplikowana w dwóch plikach). Podczas uruchamiania jako standardowy użytkownik użyto pliku autostartu $HOME/.config/au-tostart/gnomehelper.desktop i dokonano zmian w .bashrc, a plik wykonywalny został zapisany jako $HOME/.gvfsd/.profile/gvfsd -helper i $HOME/.dbus/sessions/session-dbus. Obydwa pliki wykonywalne zostały uruchomione jednocześnie, każdy monitorował obecność drugiego i przywracał go w przypadku jego zakończenia.
Aby ukryć wyniki swoich działań w backdoorze, wykorzystano kilka algorytmów szyfrowania, przykładowo do szyfrowania ich zasobów wykorzystano AES, a do ukrycia kanału komunikacji wykorzystano kombinację AES, XOR i ROTATE w połączeniu z kompresją z wykorzystaniem ZLIB z serwerem sterującym.
Aby otrzymać polecenia sterujące, szkodliwe oprogramowanie kontaktowało się z 4 domenami za pośrednictwem portu sieciowego 443 (kanał komunikacyjny wykorzystywał własny protokół, a nie HTTPS i TLS). Domeny (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com i news.thaprior.net) zostały zarejestrowane w 2015 roku i hostowane przez kijowskiego dostawcę usług hostingowych Deltahost. W backdoorze zintegrowano 12 podstawowych funkcji, które umożliwiły ładowanie i uruchamianie wtyczek o zaawansowanej funkcjonalności, przesyłanie danych z urządzenia, przechwytywanie wrażliwych danych i zarządzanie lokalnymi plikami.
Źródło: opennet.ru