Обнаружено вредоносное ПО для Linux, работавшее незамеченным три года

Изображение: (cc) David Whelan
Хакер
Хакер

Новое вредоносное программное обеспечение (ПО) для операционных систем (ОС) Linux, позволяющее удаленно управлять пораженной системой, обнаружено в исследовательской лаборатории 360 Netlab, 28 апреля сообщается на сайте организации.

В лаборатории вредоносному ПО присвоили кодовое наименование RotaJakiro. Оно позволяет получать данные об устройстве и управлять на нем файлами, перехватывать конфиденциальную информацию, а также загружать дополнительные модули для выполнения других действий.

Чтобы установить RotaJakiro атакующие могли использовать неисправленные уязвимости в ОС. Также они могли делать это, получая доступ подбором ненадежных паролей.

RotaJakiro было обнаружено 25 марта при анализе подозрительной передачи по сети от одного из системных процессов ОС, выявленной при исследовании структуры ботнета — сети из устройств с установленным вредоносным ПО. Данный ботнет применялся для DDoS-атаки, во время которой злоумышленники перегружают атакуемый сервис запросами, чем делают его недоступным для пользователей.

В лаборатории отметили, что RotaJakiro существует незамеченным не менее трех лет. В частности, на сервисе проверки ПО VirusTotal первые попытки проверить программу с таким же цифровым отпечатком как у RotaJakiro датированы маем 2018 года. Совпадение цифрового отпечатка с высокой вероятностью говорит о совпадении самих программ.

Вредоносное ПО маскирует свою деятельность, используя техники шифрования и сжатия своих данных и программные имена весьма схожие со стандартными для Linux системными программами. Имена программ выбираются разные в зависимости от того, работает ли RotaJakiro от имени главного администратора системы либо обычного пользователя.

Программа запускается в двух экземплярах, каждый из которых следит за наличием своей пары и восстанавливает ее в случае завершения. Управляющие команды вредоносное ПО запрашивает через стандартный порт для шифрованных интернет-соединений, но использует при этом собственный протокол для передачи данных.

Для получения команд управления RotaJakiro подключался на четыре адреса в интернет, доменные имена которых зарегистрированы в 2015 году.