Peretas negara bagian China menargetkan sistem Linux dengan malware baru

Peretas negara bagian China menargetkan sistem Linux dengan malware baru

Peretas negara bagian China menargetkan sistem Linux dengan malware baru

Peneliti keamanan di Intezer telah menemukan pintu belakang yang sebelumnya tidak berdokumen yang dijuluki RedXOR  dengan tautan ke grup peretasan yang disponsori China dan digunakan dalam serangan berkelanjutan yang menargetkan sistem Linux.

The  RedXOR  sampel malware ditemukan oleh Intezer diupload ke VirusTotal ( 1 ,  2 ) dari Taiwan dan Indonesia (dikenal target hacker negara Cina) dan memiliki tingkat deteksi yang rendah.

Berdasarkan server perintah-dan-kontrol yang masih aktif, backdoor Linux digunakan dalam serangan yang sedang berlangsung yang menargetkan server dan titik akhir Linux.

RedXOR hadir dengan sejumlah besar kemampuan, termasuk menjalankan perintah dengan hak istimewa sistem, mengelola file pada kotak Linux yang terinfeksi, menyembunyikan prosesnya menggunakan rootkit sumber terbuka Adore-ng, membuat proxy lalu lintas berbahaya, memperbarui jarak jauh, dan banyak lagi.

Tautan ke malware Winnti Cina

Malware baru itu diyakini sebagai alat berbahaya baru yang ditambahkan ke gudang senjata kelompok payung ancaman Winnti China.

"Berdasarkan viktimologi, serta komponen dan Taktik, Teknik, dan Prosedur (TTP) serupa, kami yakin RedXOR dikembangkan oleh aktor-aktor ancaman China yang terkenal," kata Intezer  .

Intezer juga menemukan banyak koneksi antara backdoor Linux RedXOR dan beberapa strain malware yang terhubung ke peretas Winnti state, termasuk backdoor PWNLNX dan botnet Groundhog dan XOR.DDOS.

Kesamaan yang ditemukan oleh peneliti keamanan saat membandingkan jenis malware ini termasuk penggunaan:

  • rootkit kernel open-source lama, 
  • fungsi bernama identik, 
  • Lalu lintas berbahaya berkode XOR, 
  • skema penamaan yang sebanding untuk layanan persistensi, 
  • kompilasi menggunakan kompiler Red Hat lama, 
  • aliran kode dan fungsionalitas yang sangat mirip, dan banyak lagi.

Siapa Winnti?

Winnti  adalah istilah umum yang digunakan untuk melacak kumpulan grup peretasan yang didukung negara ( BARIUM  oleh Microsoft,  APT41  oleh FireEye,  Blackfly dan Suckfly  oleh Symantec,  Wicked Panda  oleh CrowdStrike) terkait dengan kepentingan pemerintah China.

Grup APT ini berbagi gudang alat berbahaya yang digunakan dalam serangan spionase dunia maya dan bermotif finansial setidaknya sejak 2011.

Saat itulah para peneliti Kaspersky menemukan malware Trojan Winnti pada sejumlah  besar sistem permainan yang disusupi  menyusul serangan rantai pasokan yang membahayakan server pembaruan resmi permainan.

Kaspersky juga mengungkapkan bukti yang menghubungkan taktik dan metode serangan Winnti yang digunakan dalam kompromi LiveUpdate ASUS selama  Operasi ShadowHammer  dengan yang digunakan dalam serangan rantai pasokan lainnya, termasuk  NetSarang  dan  CCleaner  dari tahun 2017.

Grup APT semakin menargetkan pengguna Linux

Penemuan baru sama sekali tidak mengejutkan, dengan mempertimbangkan lebih dari 40% peningkatan malware Linux baru yang ditemukan selama tahun 2020.

Peretas negara-bangsa juga semakin fokus pada penargetan sistem Linux, seperti yang disorot oleh  laporan Intezer tahun 2020 yang  merangkum sepuluh tahun terakhir serangan Linux APT.

"Dalam dekade sebelumnya para peneliti menemukan beberapa kampanye APT besar yang menargetkan sistem Linux, serta alat malware Linux unik yang disesuaikan untuk operasi spionase," kata Intezer.

"Beberapa aktor negara-bangsa yang paling menonjol memasukkan kemampuan Linux ofensif ke dalam gudang senjata mereka dan diharapkan jumlah dan kecanggihan serangan semacam itu akan meningkat seiring waktu."


Previous Post
Next Post

post written by:

0 Comments: