Zlonamerna programska oprema Shikitega

Kibernetski kriminalci uporabljajo sofisticirano grožnjo zlonamerne programske opreme Linux, imenovano Shikitega, da pridobijo nadzor nad sistemi Linux in napravami IoT (Internet-of-Things). Napadalci izkoristijo svoj dostop do vdrenih naprav, da zagotovijo grožnjo kripto-rudarjenja, vendar širok dostop in pridobljeni korenski privilegiji napadalcem olajšajo vrtenje in izvajanje veliko bolj uničujočih in vsiljivih dejanj, če tako želijo.

Grožnja je nameščena na ciljnih napravah prek zapletene večstopenjske verige okužbe, sestavljene iz več različnih komponent modula. Vsak modul prejme navodila iz prejšnjega dela tovora Shikitega in konča svoja dejanja s prenosom in izvedbo naslednjega dela.

Začetna komponenta kapalke je le nekaj sto bajtov, zaradi česar je precej izmuzljiva in jo je težko zaznati. Nekateri moduli verige okužb so zasnovani za izkoriščanje ranljivosti Linuxa za doseganje obstojnosti in vzpostavitev nadzora nad poškodovanim sistemom. Po poročilu raziskovalcev kibernetske varnosti pri AT&T Alien Labs, ki so analizirali grožnjo, je Shikitega zlorabil ranljivosti CVE-2021-3493 in CVE-2021-4034. Prva je opisana kot težava pri preverjanju veljavnosti v jedru Linuxa, zaradi katere napadalci pridobijo povišane privilegije, medtem ko je druga ranljivost lokalnega stopnjevanja privilegijev v pripomočku polkit pkexec. Zahvaljujoč tem ranljivostim se zadnji del zlonamerne programske opreme Shikitega izvaja s korenskimi pravicami. Druga pomembna podrobnost je, da grožnja kot del svoje verige okužb prinaša tudi Mettle, ofenzivno varnostno orodje, ki temelji na hekerskem kompletu Metasploit.

Raziskovalci kibernetske varnosti opozarjajo, da nekateri elementi napada Shikitega, kot so nekateri strežniki Command-and-Control (C2, C&C), gostujejo v zakonitih storitvah v oblaku. Shikitega uporablja tudi polimorfni kodirnik, da rešitve za zaščito pred zlonamerno programsko opremo še otežijo odkrivanje.