Китайское подразделение безопасности Qihoo 360 Netlab обнаружило вредоносное ПО для бэкдора Linux, которое оставалось незамеченным в течение трех лет.
Фирма сообщила, что ее система мониторинга ботов обнаружила 25 марта подозрительную программу ELF, которая взаимодействовала с четырьмя доменами управления и контроля (C2) через порт TCP HTTPS 443, хотя используемый протокол на самом деле не является TLS / SSL.
«При внимательном рассмотрении образца выяснилось, что это бэкдор, нацеленный на системы Linux X64, семейство, которое существует уже не менее трех лет», — сказали исследователи Netlab Алекс Тьюринг и Хуэй Ван в своем заключении.
Подпись MD5 для файла systemd-daemon впервые появилась в VirusTotal 16 мая 2018 года. Два других файла с именами systemd-daemon и gvfsd-helper обнаружили в течение следующих трех лет.
Связь с systemd, широко используемым менеджером системы и сеансов для Linux, могла быть выбрана авторами программ, чтобы уменьшить вероятность того, что вредоносный код будет замечен администраторами, просматривающими журналы и списки процессов.
Netlab окрестил семейство вредоносных программ RotaJakiro, потому что оно ведет себя по-разному в зависимости от того, запущено ли в учетной записи root или нет. Jakiro — это отсылка к персонажу из игры Dota 2. Вредоносная программа пытается скрыть себя с помощью нескольких алгоритмов шифрования. Она полагается на AES для защиты своих собственных ресурсов и на комбинацию AES, XOR и ротационного шифрования вместе со сжатием ZLIB, чтобы скрыть связь с сервером. Домены C2, с которыми связывается вредоносное ПО, были зарегистрированы через Web4Africa в декабре 2015 года и полагаются на хостинг, предоставленный Deltahost PTR в Киеве.
Вредоносная программа не является эксплойтом; скорее, это полезная нагрузка, открывающая бэкдор на целевой машине. Она может быть установлена ничего не подозревающим пользователем, злоумышленником или через троянскую программу-дроппер.
Согласно данным Netlab, RotaJakiro поддерживает 12 команд, в том числе «Украсть конфиденциальную информацию», «Загрузить информацию об устройстве», «Доставить файл / подключаемый модуль» и три варианта «Запустить подключаемый модуль».
Фирма по безопасности видит некоторое сходство между RotaJakiro и ботнетом Torii, обнаруженным Avast в сентябре 2018 года.
