För första gången, säkerhetsforskare har upptäckt och analyserat en Linux-variant av Winnti, en av de favorit hacking verktyg som används av Peking hackare under det senaste decenniet.
Upptäckt av säkerhet forskare från Krönika, Alfabetet cyber-security division, Linux-versionen av Winnti malware fungerar som en bakdörr på infekterade värdar, ge angripare åtkomst till äventyras system.
Krönika säger det upptäckte den här Linux-variant efter bröt nyheten förra månaden att Bayer, en av världens största läkemedelsföretag, hade drabbats av Kinesiska hackare, och Winnti skadlig kod har upptäckts på sina system.
Under senare söker för Winnti malware på sin VirusTotal plattform, Krönika sa att det såg vad som verkade vara en Linux-variant av Winnti, som går tillbaka till år 2015 när det användes i hack av en Vietnamesisk spelbolag.
Anslutningar till Windows variant
Krönika säger malware de upptäckte var som består av två delar. Ett rootkit komponent för att dölja skadlig programvara på infekterade värdar och de faktiska backdoor trojan.
Ytterligare analys visade kod likheter mellan Linux-version och Winnti 2.0 Windows-version, som beskrivs i rapporter från Kaspersky Lab och Novetta.
Övriga anslutningar med Windows-versionen ingår också liknande sätt som Linux-variant hanteras utgående kommunikation med sina kommando-och-kontroll (C&C) server — som var en blandning av flera protokoll (ICMP, HTTP, och anpassade TCP-och UDP-protokollen).
Sist men inte minst, Linux-versionen hade även en annan funktion som var utmärkande för den Windows-versionen, som var möjligheten för Kinesiska hackare för att inleda förbindelser till infekterade värdar utan att gå via C&C-servrar.
“Detta sekundär kanal för kommunikation kan användas av operatörerna då tillgång till hårdkodade control-servrar är störd,” Krönika forskare sade i en rapport som publicerades förra veckan.
Linux malware är sällsynta
Upptäckten av denna Winnti Linux-variant visar också att statsunderstödda aktörer som inte väjer för att anpassa deras skadliga program till vilken plattform som de känner är nödvändigt.
Statligt hacker grupper som är knutna till de AMERIKANSKA och ryska regeringarna är kända för att använda Linux malware.
“Linux-specifika verktyg från Kinesiska APTs är sällsynt men inte ovanlig,” Silas Cutler, Reverse Engineering Leda till Krönika, berättade ZDNet via e-post. “Historiskt verktyg som HKdoor, Htran, och Derusbi hade alla Linux-varianter.”
Men trots detta, Linux-malware är ganska ovanligt bland nation-state hacka grupper, som helhet, särskilt jämfört med Windows-verktyg.
“Lägre förekomst kan bero på Linux ger gott om möjligheter för aktörer att” leva på landet ” som gör skräddarsydda verktyg onödiga,” Cutler berättade för oss.
Relaterade skadliga program och it-brottslighet täckning:
Europol arresteringar GozNym malware grupp membersHacktivist attacker minskat med 95% sedan 2015North koreanska cyberspies distribuera ny skadlig kod som utnyttjar Bluetooth-dataStack Overflow hacker gick oupptäckt under en weekChinese cyberspies brutit mot TeamViewer i 2016Company bakom LeakedSource åberopat sig skyldig i CanadaThe mörka webben är mindre, och kan vara mindre farligt, än vi tror TechRepublicGame of Thrones har de mest skadliga av alla piratkopierade TV-show CNET
Relaterade Ämnen:
Linux
Säkerhet-TV
Hantering Av Data
CXO
Datacenter