Škodlivý softvér Shikitega

Kyberzločinci používajú sofistikovanú linuxovú malvérovú hrozbu s názvom Shikitega na získanie kontroly nad linuxovými systémami a zariadeniami internetu vecí (Internet-of-Things). Útočníci využívajú svoj prístup k narušeným zariadeniam, aby poskytli hrozbu ťažby kryptomien, ale široký prístup a získané privilégiá root uľahčujú útočníkom otáčanie a vykonávanie oveľa deštruktívnejších a rušivejších akcií, ak si to želajú.

Hrozba je nasadená na cieľové zariadenia prostredníctvom komplexného viacstupňového infekčného reťazca pozostávajúceho z niekoľkých rôznych modulových komponentov. Každý modul dostane inštrukcie z predchádzajúcej časti obsahu Shikitega a ukončí svoju činnosť stiahnutím a spustením ďalšej časti.

Počiatočná zložka kvapkadla má len niekoľko stoviek bajtov, takže je dosť nepolapiteľná a ťažko zistiteľná. Niektoré moduly infekčného reťazca sú navrhnuté tak, aby využívali linuxové zraniteľnosti na dosiahnutie perzistencie a kontrolu nad narušeným systémom. Podľa správy výskumníkov kybernetickej bezpečnosti z AT&T Alien Labs, ktorí analyzovali hrozbu, Shikitega zneužil zraniteľné miesta CVE-2021-3493 a CVE-2021-4034. Prvý z nich je opísaný ako problém s overením v linuxovom jadre, ktorý vedie útočníkov k získaniu zvýšených privilégií, zatiaľ čo druhý je zraniteľnosť eskalácie lokálnych privilégií v polkitovom utilite pkexec. Vďaka týmto zraniteľnostiam sa posledná časť škodlivého softvéru Shikitega spúšťa s oprávneniami root. Ďalším dôležitým detailom je, že hrozba ako súčasť svojho infekčného reťazca prináša aj Mettle, útočný bezpečnostný nástroj založený na hackerskej súprave Metasploit.

Výskumníci v oblasti kybernetickej bezpečnosti varujú, že určité prvky útoku Shikitega, ako napríklad niektoré servery Command-and-Control (C2, C&C), sú hosťované v legitímnych cloudových službách. Shikitega tiež využíva polymorfný kódovač, ktorý ešte viac sťažuje detekciu antimalvérovými riešeniami.