RotaJakiro Trojan

RotaJakiro Trojan Opis

Badacze cyberbezpieczeństwa ujawnili zagrożenie złośliwym oprogramowaniem, które mogło pozostawać w ukryciu i wykonywać swoje nikczemne działania przez lata. Zagrożenie nazwane trojanem RotaJakiro zostało zaprojektowane w celu infekowania systemów Linux, w których następnie ustanowiło mechanizm backdoora. Osoba stwarzająca zagrożenie może nakazać narzędziu stanowiącemu zagrożenie, aby zebrało, a następnie wydobyło poufne dane prywatne z zaatakowanych systemów. RotaJackiro może również zarządzać i uruchamiać wtyczki i pliki.

RotaJakiro osiągnął imponujące możliwości ukrywania się, stosując liczne techniki wykrywania unikania i antyanalizy. Zagrożenie podejmuje wielkie wysiłki, aby ukryć zarówno komunikację sieciową, jak i informacje o zasobach. Ruch przechodzący przez kanały komunikacyjne zagrożenia jest najpierw kompresowany za pomocą ZLIB, a następnie szyfrowany za pomocą szyfrowania AES, XOR, ROTATE. Szyfrowanie AES jest również używane do ochrony zasobów RotaJakiro.

Funkcjonalność RotaJakiro

Po zainstalowaniu w docelowym systemie Linux, pierwszym działaniem RotaJakiro w czasie wykonywania jest ustalenie, czy użytkownik ma uprawnienia roota. W zależności od wyniku zagrożenie aktywuje się i wykonuje różne zasady. Korzystając z AES ROTATE, RotaJakiro odszyfrowuje następnie zasoby potrzebne do utworzenia mechanizmu trwałości i ochrony swoich procesów. Dopiero potem zagrożenie próbuje komunikować się ze swoimi serwerami dowodzenia (C2, C&C).

Jak dotąd nie udało się odkryć prawdziwego celu cyberprzestępców odpowiedzialnych za wdrożenie RotaJakiro. Główną przeszkodą jest brak wglądu w wtyczki wykonywane przez zagrożenie. Analitycy z Network Security Research Lab firmy Qihoo 360 (360 Netlab) skatalogowali 12 różnych funkcji wykonywanych przez RotaJakiro, w tym trzy związane z uruchamianiem określonych wtyczek.

Podobieństwa z innym złośliwym oprogramowaniem

Cechy RotaJakiro pokazują, że zagrożenie to w znacznym stopniu pokrywa się z botnetem Torii IoT (Internet rzeczy). Torii został po raz pierwszy zaobserwowany przez eksperta ds. Bezpieczeństwa Vesselina Bontcheva i przeanalizowany przez zespół ds. Analizy zagrożeń firmy Avast we wrześniu 2018 r. Chociaż są to różne cele, oba szczepy złośliwego oprogramowania wykorzystują te same polecenia w zainfekowanych systemach, a jednocześnie wykazują podobne metody konstrukcji i stałe kodu.

Zarówno RotaJakiro, jak i Torii polegają na algorytmach szyfrowania, aby chronić się przed badaczami bezpieczeństwa zagłębiającymi się w ich kod i zasoby. Ponadto mechanizmy trwałości i sposób struktury ruchu sieciowego przez zagrożenia pokazują dodatkowe powiązania między tymi dwoma szczepami złośliwego oprogramowania.