Škodlivý software Shikitega

Kyberzločinci používají sofistikovanou linuxovou malwarovou hrozbu jménem Shikitega k získání kontroly nad linuxovými systémy a zařízeními internetu věcí (Internet-of-Things). Útočníci využívají svůj přístup k prolomeným zařízením, aby vytvořili hrozbu pro těžbu kryptoměn, ale široký přístup a získaná kořenová oprávnění umožňují útočníkům snadno se otočit a provádět mnohem destruktivnější a rušivější akce, pokud si to přejí.

Hrozba je nasazena na cílová zařízení prostřednictvím složitého vícefázového infekčního řetězce sestávajícího z několika různých modulových komponent. Každý modul obdrží instrukce z předchozí části užitečného zatížení Shikitega a ukončí své akce stažením a provedením další části.

Počáteční komponenta kapátka má jen několik set bajtů, takže je docela nepolapitelná a obtížně detekovatelná. Některé moduly infekčního řetězce jsou navrženy tak, aby využívaly zranitelnosti Linuxu k dosažení perzistence a nastolení kontroly nad narušeným systémem. Podle zprávy výzkumníků kybernetické bezpečnosti z AT&T Alien Labs, kteří hrozbu analyzovali, Shikitega zneužil zranitelnosti CVE-2021-3493 a CVE-2021-4034. První z nich je popsána jako problém s ověřováním v jádře Linuxu, který vede útočníky k získání zvýšených oprávnění, zatímco druhý je zranitelnost eskalace místních oprávnění v obslužném programu pkexec polkit. Díky těmto zranitelnostem je poslední část malwaru Shikitega spuštěna s právy root. Dalším důležitým detailem je, že hrozba jako součást svého infekčního řetězce přináší také Mettle, útočný bezpečnostní nástroj založený na hackovací sadě Metasploit.

Výzkumníci kybernetické bezpečnosti varují, že určité prvky útoku Shikitega, jako jsou některé servery Command-and-Control (C2, C&C), jsou hostovány na legitimních cloudových službách. Shikitega také využívá polymorfní kodér, který ještě více ztíží detekci antimalwarovými řešeními.