RotaJakiro Trojan

I ricercatori sulla sicurezza informatica hanno portato alla luce una minaccia malware che era in grado di rimanere nascosta e svolgere le sue attività nefaste per anni. Denominata RotaJakiro Trojan, la minaccia è progettata per infettare i sistemi Linux dove ha poi stabilito un meccanismo backdoor. L'attore della minaccia può comandare allo strumento minaccioso di raccogliere e quindi esfiltrare dati privati sensibili da sistemi compromessi. RotaJackiro può anche gestire ed eseguire plugin e file.

RotaJakiro ha raggiunto le sue impressionanti capacità di furtività impiegando numerose tecniche di rilevamento di evitamento e anti-analisi. La minaccia compie grandi sforzi per nascondere sia la comunicazione di rete che le informazioni sulle risorse. Il traffico che passa attraverso i canali di comunicazione della minaccia viene prima compresso utilizzando ZLIB, quindi codificato con crittografia AES, XOR, ROTATE. La crittografia AES viene utilizzata anche per proteggere le risorse di RotaJakiro.

Funzionalità di RotaJakiro

Dopo essere stato stabilito sul sistema Linux di destinazione, la prima azione di RotaJakiro in fase di esecuzione è determinare se l'utente dispone dell'accesso root. A seconda del risultato, la minaccia attiva ed esegue diverse politiche. Utilizzando AES ROTATE, RotaJakiro decrittografa quindi le risorse di cui ha bisogno per creare il suo meccanismo di persistenza e proteggere i suoi processi. Solo in seguito la minaccia tenta di comunicare con i suoi server Command-and-Control (C2, C&C).

Finora il vero scopo dei criminali informatici responsabili dell'implementazione di RotaJakiro non è stato scoperto con successo. L'ostacolo principale è la mancanza di informazioni sui plugin eseguiti dalla minaccia. Gli analisti del Network Security Research Lab di Qihoo 360 (360 Netlab) hanno catalogato 12 diverse funzioni svolte da RotaJakiro, tre delle quali relative all'esecuzione di plug-in specifici.

Somiglianze con altri malware

Le caratteristiche di RotaJakiro mostrano che la minaccia condivide significative sovrapposizioni con la botnet Torii IoT (Internet of Things). Torii è stato osservato per la prima volta dall'esperto di sicurezza Vesselin Bontchev e analizzato dal Threat Intelligence Team di Avast nel settembre 2018. Sebbene bersagli diversi, entrambi i ceppi di malware utilizzano gli stessi comandi sui sistemi infetti mostrando allo stesso tempo metodi di costruzione e costanti di codice simili.

Sia RotaJakiro che Torii si affidano ad algoritmi di crittografia per proteggersi dai ricercatori sulla sicurezza che scavano nel loro codice e nelle loro risorse. Inoltre, i meccanismi di persistenza e il modo in cui le minacce strutturano il traffico di rete mostrano collegamenti aggiuntivi tra i due ceppi di malware.