Des chercheurs du Network Security Research Lab de la société de cybersécurité chinoise Qihoo 360 rapportent la découverte d'un cheval de Troie pour Linux actif depuis au moins trois ans, sans avoir éveillé auparavant la détection d'un service comme VirusTotal avec sa pléiade de moteurs antivirus.

Baptisé RotaJakiro, le malware est présenté comme une backdoor prenant pour cible les systèmes Linux 64 bits. Au moment de l'exécution, il détermine si des comptes sont root ou non afin d'adapter son comportement.

La communication avec des serveurs de commande et contrôle se fait via le port TCP 443 normalement attribué au trafic HTTPS, mais les chercheurs soulignent que ce n'est pas du trafic TLS/SSL. RotaJakiro utilise le chiffrement AES, le codage XOR et de rotation, la bibliothèque logicielle de compression de données zlib.

porte

Le flou demeure pour RotaJakiro

Une douzaine de fonctions sont prises en charge par RotaJakiro, dont certaines en rapport avec l'exécution de plugins. Toutefois, les chercheurs en sécurité soulignent n'avoir aucune visibilité sur les plugins et sont dans l'ignorance concernant leur véritable objectif.

Ils regroupent les fonctions selon quatre catégories : transmission d'informations relatives à un appareil, vol d'informations sensibles, gestion de plugins, exécution d'un plugin spécifique.

Pour RotaJakiro, il pourrait exister un lien avec le botnet Torii pour l'IoT (Internet des objets) qui avait été identifié par Avast en 2018. À l'époque, ce botnet était considéré comme une menace plus sophistiquée que le célèbre Mirai.

" De nombreuses questions restent sans réponse. Comment RotaJakiro s'est-il répandu, et quel était son but ? ", écrivent les chercheurs du Netlab de Qihoo 360 en sollicitant des pistes de la communauté de la cybersécurité.