Эксперты Chronicle, подразделения кибербезопасности холдинга Alphabet, обнаружили Linux-версию бэкдора Winnti, крайне популярного у китайских хакеров на протяжении многих лет.
Linux-вариация бэкдора была найдена после недавней новости о том, что Bayer (одна из крупнейших в мире фармацевтических компаний) была атакована китайскими хакерами, которые применяли Winnti. Аналитики Chronicle проводили дополнительные исследования относительно Winnti на VirusTotal, и обнаружили вариант для Linux, который использовался в 2015 году для атак на вьетнамские игровые компании.
Обнаруженный вредонос состоит из двух частей: руткита, который скрывает малварь на зараженном хосте, а также самого бэкдора. Дальнейший анализ малвари выявил сходство исходных кодов Linux-версии и классического Winnti 2.0 для Windows, который детально описывали в отчетах эксперты «Лаборатории Касперского» и компании Novetta.
Кроме того, оказалось, что Windows- и Linux-вариации используют похожие методы для общения с управляющими серверами: смешение из протоколов ICMP, HTTP и кастомных версий TCP и UDP. Также у свежеобнаруженной малвари есть запасной способ связи со своими операторами, который позволяет хакерам «общаться» с бэкдором напрямую, минуя C&C-серверы.
Исследователи отмечают, что хотя Linux-малварь встречается в арсеналах правительственных хакеров не так часто, ранее уже было замечено, что американские и российский хак-группы все же не игнорируют другие платформы и имеют вредоносы и для таких случаев.
«Специальные инструменты для Linux от китайских APT встречаются редко, но это не неслыханно, — рассказывает Сайлас Катлер (Silas Cutler), ведущий реверс-инженер Chronicle. — Исторически такие инструменты, как HKdoor, Htran и Derusbi тоже имели Linux-версии».