A ameaça foi descoberta mediante a sondagem do ataque cibernético da empresa farmacêutica Bayer. Segundo Chronicle, parte do portfólio de empresas do Alphabet, diz que o código da variante Linux tem uma grande semelhança com a versão Winnti 2.0 do Windows, uma ferramenta de hackers associada aos cibercriminosos chineses na última década e usada em ataques a sistemas em todo o mundo.
Acreditava-se que estivesse por trás de um ataque na cadeia de fornecimento de uma empresa de software sul-coreana em 2017. Especialistas em segurança acreditam que vários grupos APT operam atualmente sob o guarda-chuva Winnti. Estes incluem grupos rotulados como Winnti, APT17, Gref, BARIUM, PlayfullDragon, Wicked Panda, ViceDog, LEAD, Axiom, ShadowPad e PassCV.
Foi observado que esses grupos usavam estratégias e técnicas semelhantes e, em alguns casos, compartilhavam partes da mesma infraestrutura de hackers.
Incy, Winnti, spider…
Segundo os pesquisadores, a variante do Linux Winnti é projetado para funcionar como um backdoor em hosts infectados e permite que hackers tenham acesso ao sistema comprometido.
Os especialistas estavam tentando procurar por amostras de malware Winnti na plataforma VirusTotal quando identificaram a variante do Linux, que datava de 2015.
A análise da variante do Linux revelou que ela contém dois arquivos: o principal Trojan de backdoor (libxselinux) e uma biblioteca (libxselinux.so) usada para ocultar o malware. Incy, Winnti, spider…
“Tal como acontece com outras versões do Winnti, o componente principal do malware não fornece nativamente aos operadores uma funcionalidade distinta.
Este componente é projetado principalmente para lidar com comunicações e a implementação de módulos diretamente a partir dos servidores de comando e controle, C&C”.
“Durante nossa análise não foi possível recuperar nenhum plug-in ativo, no entanto os relatórios anteriores sugerem que os operadores geralmente implantam plug-ins para execução de comandos remotos, exfiltração de arquivos e proxy de proxies no host infectado. Esperamos que as funcionalidades semelhantes sejam aproveitadas por meio de módulos para Linux “, acrescentaram.
Exfiltração é a transferência não autorizada de dados de um sistema de informação que pode ser realizada manualmente, por um indivíduo com acesso físico a um dispositivo informático,ou um processo automatizado conduzido por meio de um programa malicioso.
Uma análise mais aprofundada do malware revelou muitas semelhanças de código entre a versão Winnti 2.0 do Windows e a variante do Linux. Segundo os pesquisadores, ambas as variantes podem se comunicar com seus servidores de controle e comando usando uma variedade de protocolos, incluindo HTTP, ICMP e protocolos TCP / UDP personalizados.
Outro recurso semelhante às duas versões é que eles permitem que seus controladores abram uma conexão a hosts infectados sem exigir servidores de comando e controle. Especialistas acreditam que esse recurso permite que hackers acessem diretamente os hosts infectados quando o acesso a um servidor C&C for interrompido.
Este artigo é uma tradução de: https://www.theinquirer.net/inquirer/news/3076093/winnti-linux-malware-uncovered
