ΑρχικήsecurityΕρευνητές ανακάλυψαν Linux malware που μόλυνε επί χρόνια συστήματα!

Ερευνητές ανακάλυψαν Linux malware που μόλυνε επί χρόνια συστήματα!

Ένα Linux malware με δυνατότητες backdoor που ανακαλύφθηκε πρόσφατα, λειτουργούσε για χρόνια χωρίς να γίνει αντιληπτό, γεγονός που επέτρεψε στους χάκερς που βρίσκονται πίσω από αυτό να κλέψουν ευαίσθητα δεδομένα από παραβιασμένες συσκευές.

Το backdoor, που ονομάστηκε “RotaJakiro” από τους ερευνητές του Network Security Research Lab της Qihoo 360 (360 Netlab), δεν είχε ανιχνευθεί από τα anti-malware μηχανήματα του VirusTotal, αν και ένα δείγμα έγινε upload για πρώτη φορά το 2018.

Διαβάστε επίσης: Το Emotet malware αφαιρέθηκε από όλους τους μολυσμένους υπολογιστές!

Linux malware
Linux malware μόλυνε επί χρόνια συστήματα

Το RotaJakiro έχει σχεδιαστεί για να λειτουργεί όσο το δυνατόν πιο κρυφά, κρυπτογραφώντας τα κανάλια επικοινωνίας του χρησιμοποιώντας το ZLIB (διαπλατφορμική βιβλιοθήκη συμπίεσης δεδομένων ανοιχτού κώδικα) και κρυπτογράφηση AES, XOR, ROTATE.

Οι χάκερς μπορούν να χρησιμοποιήσουν το RotaJakiro για την απομάκρυνση πληροφοριών συστήματος και ευαίσθητων δεδομένων, τη διαχείριση plugins και αρχείων και την εκτέλεση διαφόρων plugins σε παραβιασμένες συσκευές Linux 64-bit.

Ωστόσο, το 360 Netlab δεν έχει ακόμη ανακαλύψει την πραγματική πρόθεση των δημιουργών του malware για το κακόβουλο εργαλείο τους, λόγω της έλλειψης ορατότητας όσον αφορά τα plugins που αναπτύσσει αυτό σε «μολυσμένα» συστήματα.

Linux malware
Linux malware μόλυνε επί χρόνια συστήματα

Δείτε ακόμη: WhatsApp Pink malware: Απαντά αυτόματα σε μηνύματά σας στο Signal, το Viber κι άλλα apps

Σύμφωνα με τους ερευνητές του 360 Netlab, το RotaJakiro υποστηρίζει συνολικά 12 λειτουργίες, τρεις εκ των οποίων σχετίζονται με την εκτέλεση συγκεκριμένων plugins. Πρόσθεσαν ακόμη ότι δεν έχουν ορατότητα στα plugins, επομένως δεν γνωρίζουν τον πραγματικό σκοπό του backdoor.

Από το 2018, όταν το πρώτο δείγμα του RotaJakiro έγινε upload στο VirusTotal, το 360 Netlab βρήκε τέσσερα διαφορετικά δείγματα που έγιναν upload μεταξύ Μαΐου 2018 και Ιανουαρίου 2021, όλα με εντυπωσιακό σύνολο μηδενικών ανιχνεύσεων.

Πρόταση: Hackers στοχεύουν στρατιωτικούς οργανισμούς με το Nebulae backdoor

Torii botnet
Linux malware σύνδεση με Torii botnet

Οι C2 servers που έχουν χρησιμοποιηθεί από το malware, έχουν domains που καταχωρήθηκαν πριν από έξι χρόνια και συγκεκριμένα τον Δεκέμβριο του 2015.

Οι ερευνητές ανακάλυψαν επίσης ότι το RotaJakiro συνδέεται με το Torii IoT botnet που εντοπίστηκε για πρώτη φορά από τον ερευνητή malware Vesselin Bontchev και αναλύθηκε από την ομάδα threat intelligence της Avast τον Σεπτέμβριο του 2018. Τα δύο στελέχη malware χρησιμοποιούν τις ίδιες εντολές αφότου αναπτυχθούν σε παραβιασμένα συστήματα, ενώ οι προγραμματιστές τους χρησιμοποιούν παρόμοιες μεθόδους δομής και constants.

Τα RotaJakiro και Torii έχουν επίσης πολλές ομοιότητες ως προς τη λειτουργία τους, συμπεριλαμβανομένης της χρήσης αλγορίθμων κρυπτογράφησης για την απόκρυψη ευαίσθητων πόρων και της εφαρμογής ενός (παλιάς σχολής) στυλ επιμονής.

Πηγή πληροφοριών: bleepingcomputer.com

Pohackontas
Pohackontashttps://www.secnews.gr
Every accomplishment starts with the decision to try.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS