RotaJakiro : cette porte dérobée sous Linux passe sous les radars depuis 2018

Des chercheurs en sécurité ont fait la découverte d'une porte dérobée sous Linux et il s'avère qu'elle passe sous les radars, notamment de VirusTotal, depuis 2018.

Les chercheurs en sécurité de l'équipe Qihoo 360 de chez Netlab sont à l'origine de la découverte de ce malware et de la porte dérobée, qu'ils ont nommé RotaJakiro. Ce malware cible les systèmes Linux 64 bits.

La première détection malveillante de RotaJakiro remonte au 25 mars dernier par le système de tracking BotMon de Netlab. Au moment de la découverte, la menace semblait seine aux yeux de VirusTotal puisqu'il n'y a eu aucune souche malveillante détectée lors des analyses. Pourtant, il y a eu quatre échantillons téléchargés : deux en 2018, dont le premier en mai, un en 2020 et un dernier en janvier 2021.

Concrètement, le malware RotaJakiro passe au travers des systèmes de détection. Pour expliquer cela, les chercheurs de Netlab estiment que le malware modifie sa manière d'utiliser le chiffrement pour passer sous les radars. En fait, il utilise la bibliothèque de compression de données ZLIB et des combinaisons d'AES, de XOR et de rotation de clés pendant qu'il est actif. L'objectif est clair : brouiller les pistes quant à son activité et ses communications avec le serveur de Command & Control (C2).

Lorsque RotaJakiro est présent sur une machine, il se comporte différemment en fonction du compte qu'il utilise pour s'assurer de rester persistent. S'il tourne avec le compte "root", il est capable de se réexécuter automatiquement, tandis qu'avec un compte classique les processus sont doublés et se surveille mutuellement. En cas d'incident sur un processus, son pair s'occupe de le relancer.

Avec RotaJakiro, les hackers peuvent exfiltrer des informations et des données sensibles, mais aussi exécuter des programmes sur la machine Linux compromise. En fait, le malware RotaJakiro supporte un total de 12 fonctions différentes, dont 3 qui sont destinées à exécuter des plug-ins. Pour le moment, les chercheurs n'ont pas été en mesure de déterminer le rôle exact de ces plug-ins.

Grâce aux échantillons chargés sur VirusTotal, on sait que le malware circule au moins depuis 2018. Néanmoins, l'origine pourrait être plus ancienne puisque les domaines associés à l'utilisation de ce malware sont enregistrés depuis 2015. D'après Netlab, ce malware serait en lien direct avec le botnet Torii car il y a des similitudes dans les commandes et la gestion du trafic.

Désormais, les moteurs de VirusTotal sont capables de détecter le malware RotaJakiro.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5503.Voir tous les posts

One thought on “RotaJakiro : cette porte dérobée sous Linux passe sous les radars depuis 2018

  • Mes encouragements pour ces articles réguliers sur l’actualité cyber. C’est un plaisir de vous lire

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.