Voor de eerste keer, veiligheid onderzoekers hebben ontdekt en geanalyseerd met een Linux-variant van de Winnti, een van de favoriete hacking-tools gebruikt door Beijing hackers de afgelopen tien jaar.
Ontdekt door security-onderzoekers van de Kroniek, het Alfabet cyber-security division, de Linux-versie van de Winnti malware werkt als een backdoor op geïnfecteerde hosts toekenning van de aanvallers toegang tot gehackte systemen.
Kroniek zegt hij ontdekte Linux variant na het nieuws brak vorige maand dat Bayer, één van ‘ s werelds grootste farmaceutische bedrijven, zijn aangevallen door Chinese hackers, en de Winnti malware werd ontdekt op haar systemen.
Bij volgende scans voor Winnti malware op de VirusTotal-platform, Kroniek zei dat het gevlekte wat leek op een Linux-variant van de Winnti, dateert uit 2015, toen het werd gebruikt in de hack van een Vietnamese gaming bedrijf.
– Verbindingen in Windows variant
Kroniek zegt de malware ze ontdekten was opgebouwd uit twee delen. Een rootkit component te verbergen de malware geïnfecteerde hosts, en de werkelijke backdoor trojan.
Verdere analyse toonde code overeenkomsten tussen de Linux-versie en de Winnti 2.0 Windows versie, zoals beschreven in de rapporten die door Kaspersky Lab en Novetta.
Andere verbindingen met de Windows-versie ook de gelijkaardige manier waarop de Linux variant behandeld uitgaande van de communicatie met de command-and-control (C&C) server — dat was een mengsel van meerdere protocollen (ICMP, HTTP, en aangepaste TCP-en UDP-protocollen).
Laatste maar niet de minste, de Linux versie was ook nog een andere functie die is kenmerkend voor de Windows-versie, die was de mogelijkheid voor de Chinese hackers om verbindingen te initiëren naar geïnfecteerde hosts, zonder tussenkomst van de C&C-servers.
“Dit secundair communicatiekanaal kan worden gebruikt door exploitanten wanneer de toegang tot de hard-coded control-servers is verstoord,” Kroniek onderzoekers zei in een rapport dat vorige week gepubliceerd.
Linux-malware is zeldzaam
De ontdekking van deze Winnti Linux variant toont ook aan dat de staat gesponsorde acteurs niet uit de weg te porten van hun malware aan welk platform ze het gevoel nodig.
Staat hacker groepen gekoppeld aan de AMERIKAANSE en russische regeringen staan bekend om Linux te gebruiken malware.
“Linux-specifieke gereedschapsuitrusting van de Chinese APTs is zeldzaam, maar niet ongehoord,” Silas Cutler, Reverse Engineering Lead bij Chronicle, vertelde ZDNet via e-mail. “Historisch, hulpmiddelen, zoals HKdoor, Htran, en Derusbi al had Linux varianten.”
Maar ondanks dit, Linux-malware is vrij zeldzaam onder de natie-staat hacking groepen als geheel, vooral vergeleken met het Windows-hulpprogramma ‘ s.
“De lagere prevalentie kan worden omdat Linux biedt volop mogelijkheden voor actoren om te ‘leven van het land’, waarvoor aangepaste gereedschap overbodig,” Cutler ons verteld.
Gerelateerde malware en cybercriminaliteit dekking:
Europol arrestaties GozNym malware groep membersHacktivist aanvallen daalde van 95% sinds 2015North koreaanse cyberspies implementeren van nieuwe malware die oogsten Bluetooth dataStack Overloop hacker ging ongemerkt voor een weekChinese cyberspies geschonden TeamViewer in 2016Company achter LeakedSource pleit schuldig in CanadaThe donkere web is kleiner en minder gevaarlijk dan we denken TechRepublicSpel der Tronen heeft de meeste malware van illegale TV-show CNET
Verwante Onderwerpen:
Linux
Beveiliging TV
Data Management
CXO
Datacenters