افشای سال‌ها استفاده مهاجمان از بدافزار مخفی لینوکس

به گزارش راه فناری به نقل از مرکز مدیریت راهبردی افتا، بک‌دوری که توسط محققان آزمایشگاه تحقیقات امنیت شبکه Qihoo ۳۶۰ (۳۶۰ Netlab) به RotaJakiro نام‌گذاری شده است، توسط VirusTotal قابل‌شناسایی نیست، اگرچه یک نمونه برای اولین بار در سال ۲۰۱۸ بارگذاری شده بود. (از این لینک قابل مشاهده است)

RotaJakiro به‌گونه‌ای طراحی شده که تا آنجا که ممکن است به‌صورت پنهانی کار می‌کند، کانال‌های ارتباطی خود را با استفاده از فشرده‌سازی ZLIB و رمزگذاری AES ، XOR ، ROTATE رمزگذاری می‌کند.
همچنین تمام تلاش خود را انجام می‌دهد تا تحلیل گران بدافزار آن را فارنزیک نکنند زیرا اطلاعات منابع موجود در نمونه مشاهده شده توسط سیستم BotMon ۳۶۰ Netlab با استفاده از الگوریتم AES رمزگذاری شده است.

در سطح عملیاتی، RotaJakiro ابتدا با استفاده از خط‌مشی‌های مختلف اجرا برای حساب‌های مختلف، تعیین می‌کند که کاربر Root یا غیرRoot باشد، سپس منابع حساس مربوطه را با استفاده از AES & ROTATE رمزگشایی می‌کند تا برای ماندگاری، محافظت از پردازش، استفاده از یک instance و در نهایت ارتباط با C۲ بمنظور اجرای دستورات صادر شده توسط C۲ استفاده شود. بکدور لینوکس برای استخراج اطلاعات سرقت شده استفاده می‌شد.

مهاجمان می‌توانند از RotaJakiro برای نفوذ در اطلاعات سیستم و داده‌های حساس، مدیریت پلاگین‌ها و فایل‌ها و اجرای پلاگین‌های مختلف در دستگاه‌های ۶۴ بیتی لینوکس که در معرض خطر هستند، استفاده کنند. با این حال، ۳۶۰ Netlab هنوز به نیت واقعی سازندگان بدافزار برای ابزار مخرب خود پی نبرده است، زیرا این کار با افزونه‌هایی که روی سیستم‌های آلوده نصب می‌کند، قابل‌مشاهده نیست.

محققان افزودند: RotaJakiro در کل از ۱۲ عملکرد پشتیبانی می‌کند، سه مورد مربوط به اجرای افزونه‌های خاص است. متأسفانه، هیچ‌گونه دید نسبت به این افزونه‌ها وجود ندارد و بنابراین هدف واقعی آن مشخص نیست.

از سال ۲۰۱۸ که اولین نمونه RotaJakiro روی VirusTotal قرار گرفت، ۳۶۰ Netlab چهار نمونه مختلف را که بین ماه می ۲۰۱۸ تا ژانویه ۲۰۲۱ بارگذاری شده بودند( اینجا )یافت که هیچ آلودگی روی آنها توسط آنتی‌ویروس‌ها شناسایی نشده است.

سرورهای C&C که درگذشته توسط بدافزار مورد استفاده قرار گرفته‌اند دامنه‌هایی دارند که شش سال پیش، در دسامبر ۲۰۱۵ ثبت شده‌اند. محققان ۳۶۰ Netlab همچنین لینک‌هایی را به بات‌نت Torii IoT کشف کردند که اولین‌بار توسط متخصص بدافزار Vesselin Bontchev مشاهده شد و توسط تیم اطلاعات تهدید Avast در سپتامبر ۲۰۱۸ مورد تجزیه و تحلیل قرار گرفت.
این دو نوع بدافزار (RotaJakiro و Torii) پس از استقرار در سیستم‌های در معرض خطر، از روش‌های ساخت مشابه و ثابت‌هایی که توسط هر دو توسعه‌دهنده استفاده شده، بهره می‌برند. RotaJakiro و Torii همچنین دارای چندین شباهت عملکردی هستند، از جمله استفاده از الگوریتم‌های رمزگذاری برای پنهان کردن منابع حساس، اجرای یک سبک پایدار قدیمی و ترافیک شبکه ساختار یافته است.