Ранее не зарегистрированная вредоносная программа для Linux с возможностями бэкдора сумела оставаться незамеченной около трех лет, позволяя тем, кто за ней стоит, собирать и выкачивать конфиденциальную информацию из зараженных систем.
Бэкдор, получивший название «RotaJakiro» исследователями из Qihoo 360 NETLAB, нацелен на 64-битные Linux-машины и назван так потому, что «использует шифрование rotate и ведет себя по-разному для учетных записей root/non-root при исполнении».
Результаты получены в ходе анализа образца вредоносного ПО, обнаруженного 25 марта. Однако есть вероятность, что более ранние версии были загружены в VirusTotal еще в мае 2018 года. На сегодняшний день в базе данных было найдено в общей сложности четыре образца, и все из них остаются незамеченными большинством антивирусных систем. На момент написания статьи только семь поставщиков безопасности помечают последнюю версию вредоносного ПО как опасную.
RotaJakiro разработан с расчетом на скрытность, он полагается на сочетание криптографических алгоритмов для шифрования связи с удалённым сервером, в дополнение к поддержке 12 функций, которые занимаются сбором метаданных устройства, кражей конфиденциальной информации, выполнением операций, связанных с файлами, а также загрузкой и выполнением плагинов, полученных с сервера.
Но поскольку нет никаких доказательств, проливающих свет на природу плагинов, истинный замысел кампании по распространению вредоносного ПО остается неясным. Интересно, что некоторые из доменов удалённого сервера были зарегистрированы еще в декабре 2015 года. Исследователи также обнаружили совпадения между RotaJakiro и ботнетом под названием «Torii». Оба вредоносных приложения работают по одному принципу.