یک بدافزار لینوکس تازه کشف‌شده با قابلیت درِ پشتی، سال‌هاست که به مهاجمان اجازه می‌دهد اطلاعات حساس دستگاه‌های آسیب‌دیده را جمع‌آوری و استخراج کنند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، درِ پشتی که توسط محققان آزمایشگاه تحقیقات امنیت شبکه Qihoo ۳۶۰ (۳۶۰ Netlab) به RotaJakiro نام‌گذاری شده است، توسط VirusTotal قابل‌شناسایی نیست، اگرچه یک نمونه برای نخستین‌بار در سال ۲۰۱۸ بارگذاری شده بود.
https://www.virustotal.com/gui/file/a۱۸bec۹۰b۲b۶۱۸۵۳۶۲eeb۶۷c۵۱۶c۸۲dd۳۴cd۸f۶a۷۴۲۳۸۷۵۹۲۱۵۷۲e۹۷ae۱۶۶۸b۰/details

RotaJakiroبه‌گونه‌ای طراحی شده که تا آنجا که ممکن است به‌صورت پنهانی کار می‌کند، کانال‌های ارتباطی خود را با استفاده از فشرده‌سازی ZLIB و رمزگذاری AES ، XOR ، ROTATE رمزگذاری می‌کند.

همچنین تمام تلاش خود را انجام می‌دهد تا تحلیل گران بدافزار آن را فارنزیک نکنند زیرا اطلاعات منابع موجود در نمونه مشاهده شده توسط سیستم BotMon ۳۶۰ Netlab با استفاده از الگوریتم AES رمزگذاری شده است.

در سطح عملیاتی، RotaJakiro ابتدا با استفاده از خط‌مشی‌های مختلف اجرا برای حساب‌های مختلف، تعیین می‌کند که کاربر Root یا غیرRoot باشد، سپس منابع حساس مربوطه را با استفاده از AES & ROTATE رمزگشایی می‌کند تا برای ماندگاری، محافظت از پردازش، استفاده از یک instance و در نهایت ارتباط با C۲ بمنظور اجرای دستورات صادر شده توسط C۲ استفاده شود.

مهاجمان می‌توانند از RotaJakiro برای نفوذ در اطلاعات سیستم و داده‌های حساس، مدیریت پلاگین‌ها و فایل‌ها و اجرای پلاگین‌های مختلف در دستگاه‌های ۶۴ بیتی لینوکس که در معرض خطر هستند، استفاده کنند.

با این حال، ۳۶۰ Netlab هنوز به نیت واقعی سازندگان بدافزار برای ابزار مخرب خود پی نبرده است، زیرا این کار با افزونه‌هایی که روی سیستم‌های آلوده نصب می‌کند، قابل‌مشاهده نیست.

محققان افزودند: RotaJakiro در کل از ۱۲ عملکرد پشتیبانی می‌کند، سه مورد مربوط به اجرای افزونه‌های خاص است. متأسفانه، هیچ‌گونه دید نسبت به این افزونه‌ها وجود ندارد و بنابراین هدف واقعی آن مشخص نیست.

از سال ۲۰۱۸ که اولین نمونه RotaJakiro روی VirusTotal قرار گرفت، ۳۶۰ Netlab چهار نمونه مختلف را که بین ماه می ۲۰۱۸ تا ژانویه ۲۰۲۱ بارگذاری شده بودند( اینجا )یافت که هیچ آلودگی روی آنها توسط آنتی‌ویروس‌ها شناسایی نشده است.

سرورهای C&C که درگذشته توسط بدافزار مورد استفاده قرار گرفته‌اند دامنه‌هایی دارند که 6 سال پیش در دسامبر ۲۰۱۵ ثبت شده‌اند.
محققان ۳۶۰ Netlab همچنین لینک‌هایی را به بات‌نت Torii IoT کشف کردند که اولین‌بار توسط متخصص بدافزار Vesselin Bontchev مشاهده شد و توسط تیم اطلاعات تهدید Avast در سپتامبر ۲۰۱۸ مورد تجزیه و تحلیل قرار گرفت.

این دو نوع بدافزار RotaJakiro و Torii پس از استقرار در سیستم‌های در معرض خطر، از روش‌های ساخت مشابه و ثابت‌هایی که توسط هر دو توسعه‌دهنده استفاده شده، بهره می‌برند.

RotaJakiro و Torii همچنین دارای چندین شباهت عملکردی هستند، ازجمله استفاده از الگوریتم‌های رمزگذاری برای پنهان کردن منابع حساس، اجرای یک سبک پایدار قدیمی و ترافیک شبکه ساختاریافته.