Maabara ya utafiti 360 Netlab iliripoti kutambuliwa kwa programu hasidi mpya ya Linux, iliyopewa jina la RotaJakiro na kujumuisha utekelezaji wa mlango wa nyuma unaokuruhusu kudhibiti mfumo. Programu hasidi inaweza kuwa imesakinishwa na washambuliaji baada ya kutumia udhaifu ambao haujawekewa kibandiko kwenye mfumo au kubahatisha manenosiri dhaifu.
Mlango wa nyuma uligunduliwa wakati wa uchanganuzi wa trafiki inayotiliwa shaka kutoka kwa moja ya michakato ya mfumo, iliyotambuliwa wakati wa uchambuzi wa muundo wa botnet iliyotumiwa kwa shambulio la DDoS. Kabla ya hili, RotaJakiro ilibaki bila kutambuliwa kwa miaka mitatu; haswa, majaribio ya kwanza ya kuchanganua faili na heshi za MD5 zinazolingana na programu hasidi iliyotambuliwa katika huduma ya VirusTotal yalifanywa Mei 2018.
Moja ya sifa za RotaJakiro ni utumiaji wa mbinu tofauti za kuficha wakati wa kufanya kazi kama mtumiaji asiye na bahati na mzizi. Ili kuficha uwepo wake, mlango wa nyuma ulitumia majina ya mchakato wa systemd-daemon, session-dbus na gvfsd-helper, ambayo, kutokana na mgawanyiko wa usambazaji wa kisasa wa Linux na kila aina ya michakato ya huduma, kwa mtazamo wa kwanza ulionekana kuwa halali na haukusababisha mashaka.
Inapoendeshwa na haki za mizizi, hati /etc/init/systemd-agent.conf na /lib/systemd/system/sys-temd-agent.service ziliundwa ili kuamilisha programu hasidi, na faili hasidi inayoweza kutekelezwa yenyewe ilipatikana kama / bin/systemd/systemd -daemon na /usr/lib/systemd/systemd-daemon (utendaji ulinakiliwa katika faili mbili). Wakati wa kufanya kazi kama mtumiaji wa kawaida, faili ya kuanzisha kiotomatiki $HOME/.config/au-tostart/gnomehelper.desktop ilitumiwa na mabadiliko yakafanywa kwa .bashrc, na faili inayoweza kutekelezwa ilihifadhiwa kama $HOME/.gvfsd/.profile/gvfsd -msaidizi na $HOME/ .dbus/sessions/session-dbus. Faili zote mbili zinazoweza kutekelezwa zilizinduliwa wakati huo huo, ambayo kila moja ilifuatilia uwepo wa nyingine na kuirejesha ikiwa ilisitishwa.
Ili kuficha matokeo ya shughuli zao kwenye mlango wa nyuma, algorithms kadhaa za usimbuaji zilitumiwa, kwa mfano, AES ilitumiwa kusimba rasilimali zao, na mchanganyiko wa AES, XOR na ROTATE pamoja na compression kwa kutumia ZLIB ilitumiwa kuficha njia ya mawasiliano. na seva ya kudhibiti.
Ili kupokea amri za udhibiti, programu hasidi iliwasiliana na vikoa 4 kupitia kituo cha mtandao 443 (kituo cha mawasiliano kilitumia itifaki yake, si HTTPS na TLS). Vikoa (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com na news.thaprior.net) vilisajiliwa mwaka wa 2015 na kusimamiwa na mtoa huduma mwenyeji wa Kyiv Deltahost. Vipengele 12 vya msingi viliunganishwa kwenye mlango wa nyuma, ambao uliruhusu kupakia na kutekeleza programu-jalizi zenye utendakazi wa hali ya juu, kutuma data ya kifaa, kunasa data nyeti na kudhibiti faili za ndani.
Chanzo: opennet.ru