Shikitega pahavara

Küberkurjategijad kasutavad keerukat Linuxi pahavaraohtu nimega Shikitega, et saada kontroll Linuxi süsteemide ja asjade Interneti (asjade Interneti) üle. Ründajad kasutavad oma juurdepääsu rikutud seadmetele, et pakkuda krüptokaevandamise ohtu, kuid lai juurdepääs ja saadud juurõigused võimaldavad ründajatel hõlpsasti pöörata ning teha soovi korral palju hävitavamaid ja pealetükkivamaid toiminguid.

Oht rakendatakse sihitud seadmetele keeruka mitmeastmelise nakkusahela kaudu, mis koosneb mitmest erinevast moodulikomponendist. Iga moodul saab juhised Shikitega kasuliku koorma eelmisest osast ja lõpetab oma tegevuse järgmise osa allalaadimisega ja käivitamisega.

Algne tilgutikomponent on vaid paarsada baiti, mistõttu on see üsna tabamatu ja raskesti tuvastatav. Teatud nakkusahela moodulid on loodud Linuxi turvaaukude ärakasutamiseks, et saavutada püsivus ja luua kontroll rikutud süsteemi üle. Ohtu analüüsinud AT&T Alien Labsi küberjulgeoleku teadlaste raporti kohaselt kuritarvitas Shikitega CVE-2021-3493 ja CVE-2021-4034 turvaauke. Esimest kirjeldatakse kui valideerimisprobleemi Linuxi tuumas, mis sunnib ründajaid omandama kõrgendatud õigusi, samas kui teine on polkiti utiliidi pkexec kohalik privileegide eskalatsiooni haavatavus. Tänu nendele haavatavustele käivitatakse Shikitega pahavara viimane osa juurõigustega. Teine oluline detail on see, et oma nakkusahela osana pakub oht ka Mettle, ründava turvatööriista, mis põhineb Metasploiti häkkimiskomplektil.

Küberjulgeoleku teadlased hoiatavad, et Shikitega rünnaku teatud elemendid, näiteks mõned käsu-ja juhtimise (C2, C&C) serverid, on majutatud seaduslikes pilveteenustes. Shikitega kasutab ka polümorfset kodeerijat, et muuta pahavaravastaste lahenduste tuvastamine veelgi keerulisemaks.