Ny dold skadlig programvara för Linux: en dold bakdörr i flera år

0 Shares

Bara den här veckan upptäckte en grupp säkerhetsforskare från 360 Netlab en bakdörrsliknande trojan för Linux som hade cirkulerat på Internet i flera år och förbigick helt obemärkt. Denna trojan dök upp första gången på VirusTotal 2018. Och än i dag fortsätter den att undvika upptäckt av hälften av antivirusmotorerna på den här plattformen. Totalt har 4 olika varianter upptäckts och analyserats, och alla med noll upptäckter.

RotaJakiro skadlig kod

Fjärrkontrollservern har registrerats sedan dess 2015 , så man tror att de första proverna av denna skadliga programvara har cirkulerat sedan dess.

RotaJakiro: trojanen som har funnits på Linux i mer än 3 år

En av egenskaperna hos denna trojan är att den har programmerats från början för att vara så tyst som möjligt. För att förhindra att kommunikation med kontrollcentralen upptäcks, Linux skadlig kod krypterar all kommunikation . För att göra detta använder den AES, XOR och ROTATE algoritmer och komprimerar anslutningarna med ZLIB. Av denna anledning har säkerhetssystemen inte kunnat upptäcka misstankar i sin verksamhet, och eftersom den körs på en låg nivå har den inte väckt misstankar medan den var igång.

Det första den här trojanen gjorde när infektera datorn var att kontrollera om användaren var det rot eller inte rot. Beroende på vilken typ av konto där det körs kommer alltså vissa eller andra uppgifter att utföras för att extraheras utan att upptäckas och göras beständiga i systemet. När den var klar upprättade den en anslutning till kontrollservern och väntade på instruktioner. Servern har en IP från Ukraina , så skadlig programvara kan komma därifrån.

Huvudsyftet med denna skadliga programvara var att samla in och stjäla alla typer av känslig information från komprometterade datorer. Det kan också utöka sina funktioner genom att använda plugins. Säkerhetsforskare har dock ännu inte kunnat upptäcka vad dessa var och i vilken utsträckning de lyckades ta kontroll över de piratkopierade infekterade systemen. Dessutom har en relation hittats med Torii botnet, ett av de största nätverken av zombie IoT-enheter som har varit i drift sedan 2018.

Hur man skyddar Linux från denna skadliga programvara

Ursprunget till RotaJakiro är ännu inte särskilt klart. Det är inte känt om det är en global skadlig programvara som attackerar alla Linux-användare, eller om det är ett hot som är utformat för att attackera strategiska företag. Därför är det inte känt om det kommer via spam, genom sårbarheter eller gömt i filer som laddats ner från Internet.

De viktigaste antivirusprogrammen upptäcker redan hotet och lägger till det i sina databaser. Därför kan vi se till att vi inte är infekterade av det genom att använda ett bra antivirus för Linux, med den senaste databasen installerad. Dessutom, som alltid, är det viktigt att hålla distron uppdaterad med de senaste patcharna för att undvika eventuella sårbarheter som kan äventyra oss.

0 Shares