Per la prima volta, i ricercatori di sicurezza hanno scoperto e analizzato una variante di Linux di Winnti, uno dei preferiti di strumenti di hacking utilizzato da hacker di Pechino negli ultimi dieci anni.
Scoperto da ricercatori di sicurezza dalla Cronaca, l’Alfabeto di cyber-security division, la versione per Linux del Winnti malware funziona come una porta host infetti, la concessione di attaccanti di accesso a sistemi compromessi.
Cronaca dice che ha scoperto questa variante di Linux dopo la notizia che il mese scorso che la Bayer, una delle più grandi società farmaceutiche, era stato colpito da hacker Cinesi, e il Winnti malware è stato scoperto sui suoi sistemi.
Durante le successive scansioni per Winnti malware sul suo VirusTotal piattaforma, Cronaca detto vide quello che sembrava essere una variante di Linux di Winnti, risalente al 2015, quando è stato utilizzato hack di un Vietnamita società di gioco.
Connessioni di Windows variante
Cronaca dice che il malware è stato scoperto compone di due parti. Una componente rootkit per nascondere malware su host infetti, e il trojan backdoor.
Un’ulteriore analisi ha rivelato codice somiglianze tra la versione per Linux e il Winnti 2.0 versione di Windows, come descritto nel report di Kaspersky Lab e Novetta.
Altri collegamenti con la versione di Windows incluso anche il modo simile in cui la variante di Linux gestite le comunicazioni in uscita con il suo comando e controllo (C&C) server-che era di una miscela di più protocolli (ICMP, HTTP, personalizzate e di protocolli TCP e UDP).
Ultimo ma non meno importante, la versione per Linux possedeva anche un’altra caratteristica che è distintivo per la versione di Windows, che è stata la possibilità per gli hacker Cinesi per avviare le connessioni a host infetti, senza passare attraverso la C&C server.
“Secondario di questo canale di comunicazione può essere utilizzato da operatori di accesso per l’hard-coded server di controllo è perturbato,” Cronaca di ricercatori ha detto in un rapporto pubblicato la scorsa settimana.
Linux malware è raro
La scoperta di questo Winnti variante di Linux mostra anche che stato sponsorizzato da attori non rifuggire dal porting loro malware per qualsiasi piattaforma lo ritengono necessario.
Stato di gruppi di hacker legati agli stati UNITI, e il russo governi sono noti per l’uso di Linux malware.
“Linux utensili specifici Cinese APTs è raro, ma non inaudito,” Sila Cutler, il Reverse Engineering Portare alla Cronaca, ha detto a ZDNet via e-mail. “Storicamente, strumenti come HKdoor, Htran, e Derusbi tutti avevano Linux varianti.”
Ma nonostante questo, Linux malware è abbastanza raro tra stato-nazione gruppi di hacker, nel suo complesso, soprattutto se confrontato con gli strumenti di Windows.
“La bassa prevalenza può essere perché Linux offre ampie opportunità per gli attori di ‘vivere fuori della terra’, che rende personalizzati utensili inutili,” Cutler ci ha detto.
Correlati malware e attacchi informatici di copertura:
Europol arresti GozNym gruppo di malware membersHacktivist attacchi scesa dal 95% dal 2015North coreano cyberspies distribuire il nuovo malware che sfrutta il Bluetooth dataStack Overflow hacker è andato inosservato per una weekChinese cyberspies violato TeamViewer in 2016Company dietro LeakedSource si dichiara colpevole in CanadaThe scuro web è più piccolo, e può essere meno pericoloso di quanto si pensi TechRepublicGame of Thrones ha più malware di qualsiasi pirata TV show CNET
Argomenti Correlati:
Linux
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati