expertos en la crónica del alfabeto de seguridad cibernética que sostiene la versión Linux descubierto sobre Winnie de puerta trasera que es popular entre los hackers chinos para muchos años.
Linux-versión de una puerta trasera fue descubierto después de una reciente noticia de que piratas informáticos chinos que solicitaron Winnti atacaron Bayer (una de las mayores compañías farmacéuticas del mundo).analistas Chronicle llevaron a cabo investigaciones adicionales sobre Winnti en VirusTotal y la variante de fond para Linu que se utilizó en 2015 de los ataques contra las compañías de juego vietnamitas.
“herramientas especiales para Linux a partir de grupos de seguridad cibernética de China rara vez se cumplen, y esto es una sorpresa. Históricamente herramientas tales como HKdoor, Htran y Derusbi también tenían Linux-versión - dice Silas Cutler, Crónica conduce ingeniería inversa.
el malware descubierto compone de dos partes: rootkit que esconde malware en huésped infectado, y puerta trasera sí mismo.
Un análisis más detallado de malware encontró similitud de los códigos iniciales de Linux-versión y clásico Winnti 2.0 Para ventanas que en los detalles se describe expertos de “laboratorio de Kaspersky”y Novett empresa.
Adicionalmente, variaciones Windows y Linux utilizar métodos similares para la comunicación con los servidores de administración.
leer también: “Paquete RGO de la muerte” vulnerabilidad se encuentra en el kernel de Linux
usos de Troya ICMP, HTTP protocolos y realizaciones propias como TCP y Audra para obtener módulos adicionales desde el centro de control. Como especialistas nota, cibercriminales también capaz de conectarse directamente al sistema infectado, si los servidores de comando Winnti no estarán disponibles. funciones finales de aplicaciones de malware están definidas por un conjunto de plugins que pueden variar dependiendo de la finalidad.
Libxselinux.so rootkit es responsable de ocultar las acciones de Winnti en la máquina infectada. Programa es una variante alterado de Azazel utilidad que está disponible en GitHub. Guión asigna códigos de letras a las principales funciones del software malicioso y modifica su respuesta a las solicitudes con el fin de evitar que los escáneres antivirus de activación.
Winnti desarrolladores añaden en Azazel Decrypt2 operador que se aplica para descifrar los archivos de configuración de Libxselinux.so módulo. Además, los autores de malware incluidas en el código de utilidad puertos únicos y procesos de los identificadores que están involucrados por Trojan. Promover, estos nombres se utilizan durante el procesamiento de comandos desde el centro de control.
Adicionalmente, el malware descubierto recientemente tiene forma de repuesto para comunicarse con los operadores que permite a los piratas informáticos se comunican con una puerta trasera directamente, evitando C&servidores C.
Las investigaciones señalan que aunque Linux-malware rara vez se reunió en el arsenal de los piratas informáticos gubernamentales y anteriores se observó que los grupos de hackers estadounidenses y rusos no ignorar otras plataformas y tener malware para estos casos.
“Una expansión en herramientas de Linux indica repetición fuera de su zona de confort tradicional. Esto puede indicar los requisitos del sistema operativo de sus blancos, pero también puede ser un intento de tomar ventaja de un punto ciego telemitry seguridad en muchas empresas”, - concluir especialista Crónica.
Fuente: https://medium.com
