Iniulat ng Research laboratory 360 Netlab ang pagkakakilanlan ng bagong malware para sa Linux, na may codenamed RotaJakiro at kasama ang pagpapatupad ng backdoor na nagbibigay-daan sa iyong kontrolin ang system. Ang malware ay maaaring na-install ng mga umaatake pagkatapos na pagsamantalahan ang hindi na-patch na mga kahinaan sa system o hulaan ang mga mahihinang password.
Natuklasan ang backdoor sa panahon ng pagsusuri ng kahina-hinalang trapiko mula sa isa sa mga proseso ng system, na natukoy sa pagsusuri ng istruktura ng botnet na ginamit para sa pag-atake ng DDoS. Bago ito, nanatiling hindi natukoy ang RotaJakiro sa loob ng tatlong taon; lalo na, ang mga unang pagtatangka na mag-scan ng mga file na may mga MD5 na hash na tumutugma sa natukoy na malware sa serbisyo ng VirusTotal ay may petsang Mayo 2018.
Ang isa sa mga tampok ng RotaJakiro ay ang paggamit ng iba't ibang mga diskarte sa pagbabalatkayo kapag tumatakbo bilang isang unprivileged user at root. Upang itago ang presensya nito, ginamit ng backdoor ang mga pangalan ng proseso systemd-daemon, session-dbus at gvfsd-helper, na, dahil sa kalat ng mga modernong pamamahagi ng Linux na may lahat ng uri ng mga proseso ng serbisyo, sa unang tingin ay tila lehitimo at hindi pumukaw ng hinala.
Kapag tumakbo gamit ang mga karapatan sa ugat, ang mga script na /etc/init/systemd-agent.conf at /lib/systemd/system/sys-temd-agent.service ay ginawa upang i-activate ang malware, at ang malisyosong executable file mismo ay matatagpuan bilang / bin/systemd/systemd -daemon at /usr/lib/systemd/systemd-daemon (nadoble ang functionality sa dalawang file). Kapag tumatakbo bilang karaniwang user, ginamit ang autostart file na $HOME/.config/au-tostart/gnomehelper.desktop at ginawa ang mga pagbabago sa .bashrc, at nai-save ang executable file bilang $HOME/.gvfsd/.profile/gvfsd -helper at $HOME/ .dbus/sessions/session-dbus. Ang parehong mga executable na file ay inilunsad nang sabay-sabay, na ang bawat isa ay sinusubaybayan ang presensya ng isa at ibinalik ito kung ito ay natapos.
Upang itago ang mga resulta ng kanilang mga aktibidad sa backdoor, ginamit ang ilang mga algorithm ng pag-encrypt, halimbawa, ginamit ang AES upang i-encrypt ang kanilang mga mapagkukunan, at isang kumbinasyon ng AES, XOR at ROTATE kasama ang compression gamit ang ZLIB ay ginamit upang itago ang channel ng komunikasyon kasama ang control server.
Para makatanggap ng mga control command, nakipag-ugnayan ang malware sa 4 na domain sa pamamagitan ng network port 443 (ginamit ng channel ng komunikasyon ang sarili nitong protocol, hindi HTTPS at TLS). Ang mga domain (cdn.mirror-codes.net, status.sublineover.net, blog.eduelects.com at news.thaprior.net) ay nakarehistro noong 2015 at na-host ng Kyiv hosting provider na Deltahost. 12 pangunahing pag-andar ang isinama sa backdoor, na nagpapahintulot sa pag-load at pag-execute ng mga plugin na may advanced na functionality, pagpapadala ng data ng device, pag-intercept ng sensitibong data at pamamahala ng mga lokal na file.
Pinagmulan: opennet.ru