Shikitega haittaohjelma

Kyberrikolliset käyttävät kehittynyttä Linux-haittaohjelmauhkaa nimeltä Shikitega saadakseen hallintaansa Linux-järjestelmiä ja IoT-laitteita (Internet-of-Things). Hyökkääjät hyödyntävät pääsyään murtautuneisiin laitteisiin salauslouhintauhan tuottamiseksi, mutta laaja käyttöoikeus ja saadut pääkäyttäjän oikeudet tekevät hyökkääjien helpoksi kääntyä ja suorittaa paljon tuhoisempia ja tunkeilevampia toimia, jos he niin haluavat.

Uhka levitetään kohteena oleville laitteille monimutkaisen monivaiheisen tartuntaketjun kautta, joka koostuu useista eri moduulikomponenteista. Jokainen moduuli vastaanottaa ohjeet Shikitegan hyötykuorman edellisestä osasta ja lopettaa toimintansa lataamalla ja suorittamalla seuraavan osan.

Alkuperäinen dropper-komponentti on vain parisataa tavua, mikä tekee siitä melko vaikeasti havaittavan ja vaikeasti havaittavan. Tietyt tartuntaketjun moduulit on suunniteltu hyödyntämään Linuxin haavoittuvuuksia pysyvyyden saavuttamiseksi ja rikotun järjestelmän hallitsemiseksi. Uhkaa analysoineiden AT&T Alien Labsin kyberturvallisuustutkijoiden raportin mukaan Shikitega käytti väärin CVE-2021-3493- ja CVE-2021-4034-haavoittuvuuksia. Ensimmäinen on kuvattu Linux-ytimen vahvistusongelmaksi, joka saa hyökkääjät hankkimaan korotettuja oikeuksia, kun taas toinen on polkitin pkexec-apuohjelman paikallinen oikeuksien eskalaatiohaavoittuvuus. Näiden haavoittuvuuksien ansiosta Shikitega-haittaohjelman viimeinen osa suoritetaan pääkäyttäjän oikeuksin. Toinen tärkeä yksityiskohta on, että osana tartuntaketjuaan uhka toimittaa myös Mettlen, Metsploit-hakkerointisarjaan perustuvan hyökkäävän tietoturvatyökalun.

Kyberturvallisuustutkijat varoittavat, että tietyt Shikitega-hyökkäyksen elementit, kuten jotkut Command-and-Control (C2, C&C) -palvelimista, isännöidään laillisissa pilvipalveluissa. Shikitega käyttää myös polymorfista enkooderia, joka vaikeuttaa haittaohjelmien torjuntaratkaisujen havaitsemista entisestään.