RotaJakiro Trojan

Siber güvenlik araştırmacıları, gizli kalabilen ve yıllarca hain faaliyetlerini gerçekleştirebilen bir kötü amaçlı yazılım tehdidini gün ışığına çıkardı. RotaJakiro Truva Atı olarak adlandırılan tehdit, daha sonra bir arka kapı mekanizması kurduğu Linux sistemlerine bulaşmak üzere tasarlanmıştır. Tehdit aktörü, tehdit edici araca, hassas özel verileri tehlikeye atılan sistemlerden toplamasını ve sonra dışarı çıkarmasını emredebilir. RotaJackiro ayrıca eklentileri ve dosyaları yönetebilir ve çalıştırabilir.

RotaJakiro, çok sayıda kaçınma saptama ve anti-analiz tekniklerini kullanarak etkileyici gizlilik yeteneklerini elde etti. Tehdit, hem ağ iletişimini hem de kaynak bilgilerini gizlemek için büyük çabalar sarf ediyor. Tehdidin iletişim kanallarından geçen trafik önce ZLIB kullanılarak sıkıştırılır ve ardından AES, XOR, ROTATE şifreleme ile karıştırılır. AES şifrelemesi, RotaJakiro'nun kaynaklarını korumak için de kullanılır.

RotaJakiro'nun İşlevselliği

Hedeflenen Linux sistemine kurulduktan sonra, RotaJakiro'nun çalışma zamanında ilk eylemi kullanıcının root erişimine sahip olup olmadığını belirlemektir. Sonuca bağlı olarak, tehdit farklı politikaları harekete geçirir ve uygular. AES ROTATE kullanarak RotaJakiro, kalıcılık mekanizmasını oluşturmak ve süreçlerini korumak için ihtiyaç duyduğu kaynakların şifresini çözer. Ancak daha sonra tehdit Komuta ve Kontrol (C2, C&C) sunucularıyla iletişim kurmaya çalışır.

Şimdiye kadar, RotaJakiro'yu dağıtmaktan sorumlu siber suçluların gerçek amacı başarılı bir şekilde ortaya çıkarılamadı. Ana engel, tehdidin çalıştırdığı eklentilere ilişkin bilgi eksikliğidir. Qihoo 360'ın Ağ Güvenliği Araştırma Laboratuvarı'ndan (360 Netlab) analistler, RotaJakiro tarafından gerçekleştirilen, üçü belirli Eklentileri çalıştırmakla ilgili 12 farklı işlevi katalogladı.

Diğer Kötü Amaçlı Yazılımlarla Benzerlikler

RotaJakiro'nun özellikleri, tehdidin Torii IoT (Nesnelerin İnterneti) botnetiyle önemli örtüşmeler paylaştığını gösteriyor. Torii, ilk olarak güvenlik uzmanı Vesselin Bontchev tarafından gözlemlendi ve Eylül 2018'de Avast'ın Tehdit İstihbarat Ekibi tarafından analiz edildi. Farklı hedefler olmasına rağmen, her iki kötü amaçlı yazılım türü de virüslü sistemlerde aynı komutları kullanırken benzer yapı yöntemleri ve kod sabitleri sergiliyor.

Hem RotaJakiro hem de Torii, kendilerini kodlarını ve kaynaklarını araştıran güvenlik araştırmacılarından korumak için şifreleme algoritmalarına güveniyor. Dahası, kalıcılık mekanizmaları ve tehditlerin ağ trafiğini yapılandırma şekli, iki kötü amaçlı yazılım türü arasında ek bağlantılar gösterir.