Обнаружен Linux-бэкдор, три года остававшийся незамеченным

Обнаружен Linux-бэкдор, три года остававшийся незамеченным

Alexander Antipov

Бэкдор RotaJakiro, как минимум последние три года атаковал 64-битные Linux-системы, параллельно «обманывая» проверку VirusTotal.

image

Китайское подразделение безопасности Qihoo 360 Netlab обнаружило вредоносное ПО для бэкдора Linux, которое оставалось незамеченным в течение трех лет.

Бэкдор был обнаружен в ходе анализа подозрительного трафика от одного из системных процессов, выявленного при разборе структуры ботнета, используемого для DDoS-атаки. До этого RotaJakiro оставался незамеченным на протяжении трёх лет, в частности, первые попытки проверки в сервисе VirusTotal файлов с MD5-хэшами, совпадающими с выявленным вредоносным ПО, датированы маем 2018 года.

Вредоносное ПО маскирует свою деятельность, используя техники шифрования и сжатия своих данных и программные имена весьма схожие со стандартными для Linux системными программами. Имена программ выбираются разные в зависимости от того, работает ли RotaJakiro от имени главного администратора системы либо обычного пользователя.

Вредоносная программа не является эксплойтом; скорее, это полезная нагрузка, открывающая бэкдор на целевой машине. Она может быть установлена ничего не подозревающим пользователем, злоумышленником или через троянскую программу-дроппер.

На данный момент специалисты не до конца понимают всю суть его работы. Но уже сейчас они обнаружили 12 функций. В том числе нацеленные на извлечение и кражу данных, управление файлами и плагинами, а также сообщение передачу информации об устройстве.


Розыгрыш уникальной хакерской игры и билетов на Phdays а также традиционный обзор самых жарких ИБ новостей на нашем Yotube канале.


Источник: Securitylab