RotaJakiro : cette porte dérobée sous Linux passe sous les radars depuis 2018
Des chercheurs en sécurité ont fait la découverte d'une porte dérobée sous Linux et il s'avère qu'elle passe sous les radars, notamment de VirusTotal, depuis 2018.
Les chercheurs en sécurité de l'équipe Qihoo 360 de chez Netlab sont à l'origine de la découverte de ce malware et de la porte dérobée, qu'ils ont nommé RotaJakiro. Ce malware cible les systèmes Linux 64 bits.
La première détection malveillante de RotaJakiro remonte au 25 mars dernier par le système de tracking BotMon de Netlab. Au moment de la découverte, la menace semblait seine aux yeux de VirusTotal puisqu'il n'y a eu aucune souche malveillante détectée lors des analyses. Pourtant, il y a eu quatre échantillons téléchargés : deux en 2018, dont le premier en mai, un en 2020 et un dernier en janvier 2021.
Concrètement, le malware RotaJakiro passe au travers des systèmes de détection. Pour expliquer cela, les chercheurs de Netlab estiment que le malware modifie sa manière d'utiliser le chiffrement pour passer sous les radars. En fait, il utilise la bibliothèque de compression de données ZLIB et des combinaisons d'AES, de XOR et de rotation de clés pendant qu'il est actif. L'objectif est clair : brouiller les pistes quant à son activité et ses communications avec le serveur de Command & Control (C2).
Lorsque RotaJakiro est présent sur une machine, il se comporte différemment en fonction du compte qu'il utilise pour s'assurer de rester persistent. S'il tourne avec le compte "root", il est capable de se réexécuter automatiquement, tandis qu'avec un compte classique les processus sont doublés et se surveille mutuellement. En cas d'incident sur un processus, son pair s'occupe de le relancer.
Avec RotaJakiro, les hackers peuvent exfiltrer des informations et des données sensibles, mais aussi exécuter des programmes sur la machine Linux compromise. En fait, le malware RotaJakiro supporte un total de 12 fonctions différentes, dont 3 qui sont destinées à exécuter des plug-ins. Pour le moment, les chercheurs n'ont pas été en mesure de déterminer le rôle exact de ces plug-ins.
Grâce aux échantillons chargés sur VirusTotal, on sait que le malware circule au moins depuis 2018. Néanmoins, l'origine pourrait être plus ancienne puisque les domaines associés à l'utilisation de ce malware sont enregistrés depuis 2015. D'après Netlab, ce malware serait en lien direct avec le botnet Torii car il y a des similitudes dans les commandes et la gestion du trafic.
Désormais, les moteurs de VirusTotal sont capables de détecter le malware RotaJakiro.
Mes encouragements pour ces articles réguliers sur l’actualité cyber. C’est un plaisir de vous lire