Shikitega ļaunprātīga programmatūra

Kibernoziedznieki izmanto sarežģītu Linux ļaunprātīgas programmatūras draudus ar nosaukumu Shikitega, lai iegūtu kontroli pār Linux sistēmām un IoT (lietiskā interneta) ierīcēm. Uzbrucēji izmanto savu piekļuvi uzlauztajām ierīcēm, lai nodrošinātu kriptoraktuves draudus, taču plašā piekļuve un iegūtās saknes tiesības ļauj uzbrucējiem viegli pagriezties un veikt daudz postošākas un uzmācīgākas darbības, ja viņi to vēlas.

Draudi tiek izvietoti mērķa ierīcēs, izmantojot sarežģītu daudzpakāpju infekcijas ķēdi, kas sastāv no vairākiem dažādiem moduļa komponentiem. Katrs modulis saņem norādījumus no iepriekšējās Shikitega kravnesības daļas un beidz savas darbības, lejupielādējot un izpildot nākamo daļu.

Sākotnējais pilinātāja komponents ir tikai pāris simti baitu, padarot to diezgan nenotveramu un grūti nosakāmu. Daži infekcijas ķēdes moduļi ir paredzēti, lai izmantotu Linux ievainojamības, lai panāktu noturību un izveidotu kontroli pār bojāto sistēmu. Saskaņā ar AT&T Alien Labs kiberdrošības pētnieku ziņojumu, kuri analizēja draudus, Šikitega ļaunprātīgi izmantoja CVE-2021-3493 un CVE-2021-4034 ievainojamības. Pirmā ir aprakstīta kā validācijas problēma Linux kodolā, kas liek uzbrucējiem iegūt paaugstinātas privilēģijas, savukārt otrā ir vietēja privilēģiju eskalācijas ievainojamība polkit utilītprogrammā pkexec. Pateicoties šīm ievainojamībām, Shikitega ļaunprogrammatūras pēdējā daļa tiek izpildīta ar root tiesībām. Vēl viena svarīga detaļa ir tā, ka kā daļa no infekcijas ķēdes draudi nodrošina arī Mettle — aizskarošu drošības rīku, kura pamatā ir Metasploit hakeru komplekts.

Kiberdrošības pētnieki brīdina, ka daži Shikitega uzbrukuma elementi, piemēram, daži Command-and-Control (C2, C&C) serveri, tiek mitināti likumīgos mākoņpakalpojumos. Shikitega izmanto arī polimorfu kodētāju, lai padarītu to vēl grūtāku atklāšanu ar pretļaunatūras risinājumiem.