Phát hiện mã độc hoạt động bí mật 3 năm trên Linux
Mã độc có tên RotaJakiro nhắm mục tiêu vào các máy tính sử dụng hệ điều hành Linux x64. Phát hiện này bắt nguồn từ việc phân tích một mẫu mã độc được phát hiện vào ngày 25/3/2021 dù phiên bản trước đó đã tải lên VirusTotal vào đầu tháng 05/2018.
Đến nay, có tất cả 4 mẫu mã độc được tìm thấy trên cơ sở dữ liệu và đều không bị các cơ chế chống mã độc phát hiện ra. Hiện tại, chỉ có 7 nhà cung cấp bảo mật gắn cờ phiên bản mã độc này.
Các nhà nghiên cứu cho biết: "Ở các cấp độ tính năng, trước hết RotaJakiro xác định xem người dùng có quyền root hay none-root tại thời điểm chạy hay không, kèm theo đó là các chính sách thực thi khác nhau cho các tài khoản khác nhau. Sau đó, RotaJakiro giải mã các tài nguyên nhạy cảm có liên quan bằng cách sử dụng AES & ROTATE để duy trì, bảo vệ quy trình và sử dụng phiên bản đơn lẻ, cuối cùng thiết lập giao tiếp với C&C và đợi việc thực thi các lệnh do C&C đưa ra".
RotaJakiro được thiết kế dựa trên sự kết hợp của các thuật toán mật mã để mã hóa thông tin liên lạc giữa nó với máy chủ C&C, ngoài ra còn hỗ trợ 12 chức năng giúp thu thập siêu dữ liệu của thiết bị, lấy cắp thông tin nhạy cảm, thực hiện các thao tác liên quan đến tệp, tải xuống và thực thi các trình cắm được tải từ máy chủ C&C.
Nhưng vẫn chưa có bằng chứng nào để làm sáng tỏ bản chất của các plugin hay mục đích thực sự đằng sau của phần mềm độc hại này. Một số máy chủ C&C đã được đăng ký từ trước tháng 12/2015. Các nhà nghiên cứu cũng quan sát thấy sự trùng lặp giữa RotaJakiro và một mạng botnet có tên Torii.
Các nhà nghiên cứu cho biết thêm: "Từ quan điểm của kỹ thuật dịch ngược, RotaJakiro và Torii khá giống nhau về một số điểm như: sử dụng các thuật toán mã hóa để ẩn các tài nguyên nhạy cảm, lưu lượng mạng có cấu trúc, dường như RotaJakiro và Torii có một số mối liên hệ".
Hương Mai