Un malware de Linux utilisé comme porte dérobée pendant des années

Un malware de Linux récemment découvert avec des capacités de porte dérobée est resté indétecté pendant des années, permettant aux attaquants de récolter et d’exfiltrer des informations sensibles à partir d’appareils compromis.

La porte dérobée, baptisée RotaJakiro par des chercheurs du Network Security Research Lab (360 Netlab) de Qihoo 360, n’est toujours pas détectée par les moteurs anti-malware de VirusTotal, bien qu’un échantillon ait été partagé pour la première fois en 2018.

RotaJakiro est conçu pour fonctionner de manière aussi furtive que possible, chiffrant ses canaux de communication en utilisant la compression ZLIB et le chiffrement AES, XOR, ROTATE.

Il fait également de son mieux pour empêcher les analystes de logiciels malveillants de le disséquer car les informations de ressources trouvées dans l’échantillon repéré par le système BotMon de 360 Netlab est chiffré à l’aide de l’algorithme AES.

« Au niveau fonctionnel, RotaJakiro détermine d’abord si l’utilisateur est root ou pas au moment de l’exécution, avec des politiques d’exécution différentes pour différents comptes, puis déchiffre les ressources sensibles pertinentes en utilisant AES & ROTATE pour obtenir une persistance ultérieure, une garde des processus et l’utilisation d’une seule instance, il établit enfin la communication avec le serveur de command et de contrôle et attend l’exécution des commandes émises par ce serveur », a déclaré 360 Netlab.

Une porte dérobée de Linux utilisée pour exfiltrer des données volées

Les attaquants peuvent utiliser RotaJakiro pour exfiltrer les informations système et les données sensibles, gérer les plugins et les fichiers, et exécuter divers plugins sur des appareils Linux 64-bits compromis.

Cependant, 360 Netlab n’a pas encore découvert la véritable intention des créateurs de logiciels malveillants pour leur outil malveillant en raison du manque de visibilité quand il s’agit des plugins qu’il déploie sur les systèmes infectés.

« RotaJakiro prend en charge un total de 12 fonctions, dont trois sont liées à l’exécution de plugins spécifiques », ont ajouté les chercheurs. « Malheureusement, nous n’avons aucune visibilité sur les plugins, et donc ne connaissent pas son véritable objectif. »

linux

Depuis 2018, date à où le premier échantillon de RotaJakiro a atterri sur VirusTotal, 360 Netlab ont trouvé quatre échantillons différents téléchargés entre Mai 2018 et Janvier 2021, tous avec un total impressionnant de zéro détection.

Les serveurs de commande et de contrôle historiquement utilisés par ce logiciel malveillant ont des domaines enregistrés il y a six ans, en Décembre 2015.

Nom de FichierMD5DétectionPremier partage dans Virus Total
systemd-daemon1d45cd2c1283f927940c099b8fab593b0/612018-05-16 04:22:59
systemd-daemon11ad1e9b74b144d564825d65d7fb37d60/582018-12-25 08:02:05
systemd-daemon5c0f375e92f551e8f2321b141c15c48f0/562020-05-08 05:50:06
gvfsd-helper64f6cfe44ba08b0babdd3904233c48570/612021-01-18 13:13:19

Les chercheurs de 360 Netlab ont également découvert des liens vers le botnet IoT Torii repéré pour la première fois par l’expert en logiciels malveillants Vesselin Bontchev et analysés par l’équipe d’intelligence sur les menaces d’Avast en Septembre 2018.

Les deux souches de logiciels malveillants utilisent les mêmes commandes après avoir été déployées sur des systèmes compromis, des méthodes de construction similaires et des constantes utilisées par les deux développeurs.

RotaJakiro et Torii partagent également de multiples similitudes fonctionnelles, notamment « l’utilisation d’algorithmes de cryptage pour masquer les ressources sensibles, la mise en œuvre d’un style de persistance plutôt old-school, un trafic réseau structuré ».

Si cet article vous a plu, jetez un œil à notre article précédent.

Vous pourriez aussi aimer
Laisser un commentaire