Raziskovalni laboratorij 360 Netlab je poročal o identifikaciji nove zlonamerne programske opreme za Linux s kodnim imenom RotaJakiro in vključuje implementacijo stranskih vrat, ki vam omogočajo nadzor nad sistemom. Zlonamerno programsko opremo so lahko namestili napadalci, potem ko so izkoristili nepopravljene ranljivosti v sistemu ali uganili šibka gesla.
Zadnja vrata so bila odkrita med analizo sumljivega prometa iz enega od sistemskih procesov, ugotovljenih med analizo strukture botneta, uporabljenega za napad DDoS. Pred tem je RotaJakiro ostal neodkrit tri leta; zlasti prvi poskusi skeniranja datotek z zgoščenimi vrednostmi MD5, ki se ujemajo z ugotovljeno zlonamerno programsko opremo v storitvi VirusTotal, so bili datirani maja 2018.
Ena od značilnosti RotaJakiro je uporaba različnih kamuflažnih tehnik pri izvajanju kot neprivilegirani uporabnik in root. Za prikrivanje svoje prisotnosti je backdoor uporabljal imena procesov systemd-daemon, session-dbus in gvfsd-helper, ki so se glede na natrpanost sodobnih distribucij Linuxa z najrazličnejšimi servisnimi procesi na prvi pogled zdela legitimna in niso zbujala suma.
Pri zagonu s korenskimi pravicami sta bila skripta /etc/init/systemd-agent.conf in /lib/systemd/system/sys-temd-agent.service ustvarjena za aktiviranje zlonamerne programske opreme, sama zlonamerna izvršljiva datoteka pa je bila locirana kot / bin/systemd/systemd -daemon in /usr/lib/systemd/systemd-daemon (funkcionalnost je bila podvojena v dveh datotekah). Pri izvajanju kot standardni uporabnik je bila uporabljena datoteka za samodejni zagon $HOME/.config/au-tostart/gnomehelper.desktop in spremembe v .bashrc, izvršljiva datoteka pa je bila shranjena kot $HOME/.gvfsd/.profile/gvfsd -helper in $HOME/ .dbus/sessions/session-dbus. Obe izvršljivi datoteki sta bili zagnani hkrati, vsaka od njiju je spremljala prisotnost druge in jo obnovila, če se je prekinila.
Za skrivanje rezultatov njihovih aktivnosti v backdoorju je bilo uporabljenih več algoritmov šifriranja, na primer AES za šifriranje njihovih virov, kombinacija AES, XOR in ROTATE v kombinaciji s stiskanjem z uporabo ZLIB pa za skrivanje komunikacijskega kanala. z nadzornim strežnikom.
Za prejemanje nadzornih ukazov je zlonamerna programska oprema vzpostavila stik s 4 domenami prek omrežnih vrat 443 (komunikacijski kanal je uporabljal lasten protokol, ne HTTPS in TLS). Domene (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com in news.thaprior.net) so bile registrirane leta 2015 in jih gosti kijevski ponudnik gostovanja Deltahost. V backdoor je bilo integriranih 12 osnovnih funkcij, ki so omogočale nalaganje in izvajanje vtičnikov z napredno funkcionalnostjo, prenos podatkov o napravi, prestrezanje občutljivih podatkov in upravljanje lokalnih datotek.
Vir: opennet.ru