Ένα
Linux malware με
δυνατότητες
backdoor
που ανακαλύφθηκε πρόσφατα, λειτουργούσε για χρόνια χωρίς να γίνει αντιληπτό, γεγονός που επέτρεψε στους
χάκερς
που βρίσκονται πίσω από αυτό να κλέψουν ευαίσθητα
δεδομένα
από παραβιασμένες
συσκευές
.
Το backdoor, που ονομάστηκε
“RotaJakiro”
από τους ερευνητές του
Network
Security
Research Lab της Qihoo 360 (360 Netlab)
, δεν είχε ανιχνευθεί από τα anti-malware μηχανήματα του
VirusTotal
, αν και ένα δείγμα έγινε upload για πρώτη φορά το
2018
.
Διαβάστε επίσης:
Το
Emotet malware
αφαιρέθηκε από όλους τους μολυσμένους
υπολογιστές
!
συστήματα
Το RotaJakiro έχει σχεδιαστεί για να λειτουργεί όσο το δυνατόν πιο
κρυφά
, κρυπτογραφώντας τα
κανάλια
επικοινωνίας του χρησιμοποιώντας το
ZLIB
(διαπλατφορμική
βιβλιοθήκη
συμπίεσης δεδομένων ανοιχτού κώδικα) και
κρυπτογράφηση AES, XOR, ROTATE
.
Οι
χάκερς
μπορούν να χρησιμοποιήσουν το RotaJakiro για την απομάκρυνση πληροφοριών συστήματος και ευαίσθητων δεδομένων, τη διαχείριση plugins και αρχείων και την εκτέλεση διαφόρων plugins σε παραβιασμένες
συσκευές
Linux 64-bit
.
Ωστόσο, το 360 Netlab
δεν έχει ακόμη ανακαλύψει την πραγματική πρόθεση των δημιουργών
του malware για το κακόβουλο
εργαλείο
τους, λόγω της έλλειψης ορατότητας όσον αφορά τα plugins που αναπτύσσει αυτό σε «μολυσμένα»
συστήματα
.
Linux malware μόλυνε επί χρόνια
συστήματα
Δείτε ακόμη:
WhatsApp Pink malware: Απαντά αυτόματα σε μηνύματά σας στο Signal, το Viber κι άλλα apps
Σύμφωνα με τους ερευνητές του 360 Netlab, το RotaJakiro
υποστηρίζει συνολικά 12 λειτουργίες
, τρεις εκ των οποίων σχετίζονται με την
εκτέλεση συγκεκριμένων plugins
. Πρόσθεσαν ακόμη ότι δεν έχουν ορατότητα στα plugins, επομένως δεν γνωρίζουν τον πραγματικό σκοπό του backdoor.
Από το 2018, όταν το πρώτο δείγμα του RotaJakiro έγινε upload στο VirusTotal, το 360 Netlab βρήκε
τέσσερα διαφορετικά δείγματα
που έγιναν
upload μεταξύ Μαΐου 2018 και Ιανουαρίου 2021
, όλα με εντυπωσιακό σύνολο μηδενικών ανιχνεύσεων.
Πρόταση:
Hackers στοχεύουν στρατιωτικούς οργανισμούς με το Nebulae backdoor
Linux malware
σύνδεση
με Torii botnet
Οι
C2 servers
που έχουν χρησιμοποιηθεί από το malware, έχουν domains που καταχωρήθηκαν πριν από έξι χρόνια και συγκεκριμένα τον
Δεκέμβριο του 2015
.
Οι ερευνητές ανακάλυψαν επίσης ότι το RotaJakiro συνδέεται με το Torii IoT botnet που εντοπίστηκε για πρώτη φορά από τον ερευνητή malware Vesselin Bontchev και αναλύθηκε από την ομάδα threat
intelligence
της
Avast
τον
Σεπτέμβριο του
2018
. Τα
δύο στελέχη malware
χρησιμοποιούν τις
ίδιες εντολές
αφότου αναπτυχθούν σε παραβιασμένα
συστήματα
, ενώ οι προγραμματιστές τους χρησιμοποιούν παρόμοιες μεθόδους δομής και constants.
Τα RotaJakiro και Torii έχουν επίσης πολλές
ομοιότητες ως προς τη
λειτουργία
τους
, συμπεριλαμβανομένης της χρήσης αλγορίθμων κρυπτογράφησης για την απόκρυψη ευαίσθητων πόρων και της εφαρμογής ενός (παλιάς σχολής) στυλ επιμονής.
Πηγή πληροφοριών: bleepingcomputer.com
Related Posts
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.