برامج لينُكس الخبيثة لم يتم اكتشافها لمدة 3 سنوات
نجح برنامج Linux الخبيث الذي لم يتم توثيقه سابقًا
مع إمكانات الباب الخلفي في البقاء تحت الرادار لمدة ثلاث سنوات تقريباً ، وهكذا
سمح لممثل التهديد الذي يقف وراء العملية بجمع المعلومات الحساسة من أنظمة التشغيل
المصابة واستخراجها.
 |
| برامج لينُكس الخبيثة لم يتم اكتشافها لمدة 3 سنوات |
حيث يستهدف الباب الخلفي ، الذي أطلق عليه باحثون من Qihoo 360 NETLAB اسم " RotaJakiro " ، أجهزة Linux X64 ، وسمي بهذا نسبة إلى حقيقة أن " العائلة تستخدم التشفير بالتناوب وتتصرف بشكل مختلف مع حسابات الجذر / غير الجذر عند التنفيذ ."
وكُشفت هذه النتائج من تحليل لــ عينة البرمجيات الخبيثة هو الكشف عن يوم 25 مارس، على
الرغم من الإصدارات في وقت مبكر؛ ويبدو أنه قد تم تحميلها على فايروس Total فى مايو 2018 . وهناك مجموعه من أربع عينات تم العثور حتى الآن على قاعدة البيانات ، والتي لا تزال لم تكتشفها
معظم برامج مكافحة الفيروسات والبرامج الضارة.
 |
| Qihoo 360 NETLAB |
"على المستوى الوظيفي ، يحدد RotaJakiro أولاً ما إذا كان المستخدم جذرًا
أم غير جذر في وقت التشغيل ، مع سياسات تنفيذ مختلفة لحسابات مختلفة ، ثم يقوم بفك
تشفير الموارد الحساسة ذات الصلة باستخدام AES & ROTATE للاستمرار اللاحق وحراسة العملية
واستخدام مثيل واحد ، وأخيرًا يقيم اتصالًا مع C2 وينتظر تنفيذ الأوامر الصادرة عن C2 ".
 |
| RotaJakiro |
قال الباحثون: "من منظور
الهندسة العكسية ، يشترك RotaJakiro و Torii في أنماط متشابهة: استخدام خوارزميات التشفير لإخفاء الموارد
الحساسة ، وتنفيذ أسلوب المدرسة القديمة إلى حد ما من المثابرة ، وحركة مرور شبكة
منظمة ، وما إلى ذلك". "لا نعرف الإجابة بالضبط ، لكن يبدو أن لدى روتاياكيرو وتوري بعض
الصلات."
ليست هناك تعليقات