Ερευνητές ασφαλείας της εταιρίας κυβερνοασφάλειας Chronicle που ανήκει στην Alphabet, ανακάλυψαν μια έκδοση Linux του διάσημου κακόβουλου λογισμικού Winnti, κατά τη διάρκεια έρευνας πρόσφατης κυβερνοεπίθεσης που πραγματοποιήθηκε κατά του φαρμακευτικού γίγαντα Bayer. Σύμφωνα με τους ερευνητές, ο κώδικας που περιέχεται στην παραλλαγή του Linux είναι παρόμοιος με αυτόν της έκδοσης Winnti 2.0 των Windows, ο οποίος χρησιμοποιήθηκε από κινέζους κυβερνοεγκληματίες την περασμένη δεκαετία για να εκτελέσει επιθέσεις σε συστήματα παγκοσμίως.

Από διάφορους ειδικούς ασφαλείας πιστεύεται ότι διάφορες ομάδες “Προηγμένης Επίμονης Απειλής” APT (Advanced Persistent Threat) λειτουργούν κάτω από την ομπρέλα Winnti, συμπεριλαμβανομένων των Winnti, Wicked Panda, ShadowPad, DeputDog, APT17, PassCV και άλλων. Όλες αυτές οι ομάδες έχουν χρησιμοποιήσει παρεμφερείς στρατηγικές και τεχνικές στο παρελθόν, ενώ έχουν μοιραστεί ακόμη και τμήματα της ίδιας υποδομής hacking.

Σύμφωνα με την Chronicle, η έκδοση Linux του Winnti έχει σχεδιαστεί για να λειτουργεί ως backdoor σε μολυσμένους κεντρικούς υπολογιστές που δίνει στους hackers τη δυνατότητα πρόσβασης στο εκτεθειμένο σύστημα. Οι ερευνητές ανακάλυψαν για πρώτη φορά την ύπαρξη της έκδοσης Linux, ενώ προσπάθησαν να ψάξουν για δείγματα malware Winnti στην πλατφόρμα VirusTotal της εταιρείας. Μετά την ανάλυση αυτής της παραλλαγής Linux του Winnti, η Chronicle ανακάλυψε ότι χρονολογείται από το 2015 και περιέχει ένα backdoor Trojan (libxselinux) και μια βιβλιοθήκη (libselinux.so) που χρησιμοποιείται για να αποκρύψει το κακόβουλο λογισμικό από την ανίχνευση.

Σε ανάρτησή τους σε blog, οι ερευνητές παρείχαν περισσότερες λεπτομέρειες για τον τρόπο λειτουργίας της έκδοσης Linux του Winnti, αναφέροντας: «Όπως συμβαίνει και με άλλες εκδόσεις του Winnti, ο βασικός πυρήνας του κακόβουλου λογισμικού δεν παρέχει στις ομάδες ξεχωριστή λειτουργικότητα. Το στοιχείο αυτό είναι σχεδιασμένο κατά κύριο λόγο για να χειρίζεται τις επικοινωνίες και την ανάπτυξη μονάδων απευθείας από τους διακομιστές εντολών και ελέγχου. Κατά τη διάρκεια των αναλύσεών μας, δεν μπορέσαμε να ανακτήσουμε κανένα ενεργό πρόσθετο. Ωστόσο, οι προγενέστερες αναφορές υποδεικνύουν ότι οι ομάδες αναπτύσσουν συνήθως πρόσθετα για την εκτέλεση απομακρυσμένης εντολής, την απομάκρυνση αρχείων και τη χρήση “socks5 proxying” (πρωτόκολλο ασφαλείας) στον μολυσμένο κεντρικό υπολογιστή. Αναμένουμε ότι παρόμοια λειτουργικότητα θα αξιοποιηθεί και μέσα από άλλες παραλλαγές για Linux».

του Χάρη Ματθαίου