1. За рубежом: реальный мир
  2. Информационная безопасность
Пекин, / ИА Красная Весна

Обнаружено вредоносное ПО для Linux, работавшее незамеченным три года

Изображение: (cc) David Whelan
Хакер
Хакер

Новое вредоносное программное обеспечение (ПО) для операционных систем (ОС) Linux, позволяющее удаленно управлять пораженной системой, обнаружено в исследовательской лаборатории 360 Netlab, 28 апреля сообщается на сайте организации.

В лаборатории вредоносному ПО присвоили кодовое наименование RotaJakiro. Оно позволяет получать данные об устройстве и управлять на нем файлами, перехватывать конфиденциальную информацию, а также загружать дополнительные модули для выполнения других действий.

Чтобы установить RotaJakiro атакующие могли использовать неисправленные уязвимости в ОС. Также они могли делать это, получая доступ подбором ненадежных паролей.

Смотрите также:

Для русских нет ничего страшнее проигрыша больших игр. Кургинян и Шафран на радио «Звезда»

RotaJakiro было обнаружено 25 марта при анализе подозрительной передачи по сети от одного из системных процессов ОС, выявленной при исследовании структуры ботнета — сети из устройств с установленным вредоносным ПО. Данный ботнет применялся для DDoS-атаки, во время которой злоумышленники перегружают атакуемый сервис запросами, чем делают его недоступным для пользователей.

В лаборатории отметили, что RotaJakiro существует незамеченным не менее трех лет. В частности, на сервисе проверки ПО VirusTotal первые попытки проверить программу с таким же цифровым отпечатком как у RotaJakiro датированы маем 2018 года. Совпадение цифрового отпечатка с высокой вероятностью говорит о совпадении самих программ.

Вредоносное ПО маскирует свою деятельность, используя техники шифрования и сжатия своих данных и программные имена весьма схожие со стандартными для Linux системными программами. Имена программ выбираются разные в зависимости от того, работает ли RotaJakiro от имени главного администратора системы либо обычного пользователя.

Программа запускается в двух экземплярах, каждый из которых следит за наличием своей пары и восстанавливает ее в случае завершения. Управляющие команды вредоносное ПО запрашивает через стандартный порт для шифрованных интернет-соединений, но использует при этом собственный протокол для передачи данных.

Для получения команд управления RotaJakiro подключался на четыре адреса в интернет, доменные имена которых зарегистрированы в 2015 году.

Пекин

Аналитика

от ИА Красная Весна
ico
ico
ico
ico
ico
ico
ico