پژوهشگران امنیتی Intezer بهتازگی نمونهای از یک بدافزار پیشرفته را کشف کردهاند که با دادن کنترل از راه دور سیستمهای آلوده به مهاجمان، لینوکس را هدف قرار میدهد. این بدافزار که HiddenWasp نامیده میشود فعال است و از عدم شناسایی توسط سیستمهای ضد بدافزار بزرگ بهره میبرد. بهنظر میرسد این تهدید در حملات هدفمند در قربانیهایی که قبلاً توسط مهاجمان در معرض خطر قرار گرفتهاند، استفاده میشود.
بااینکه بیشتر کدهای HiddenWasp منحصربه فرد هستند، Intezer متوجه شده است که نویسندگان این بدافزار از تکه کدهای موجود در مخازن عمومی ازجمله باتنت Mirai و روتکیت Azazel استفاده کردهاند و این تهدید شباهتهایی با خانوادههای بدافزار چینی دارد. دقیقاً همانند نسخههای لینوکس Winit که Chronicle بهتازگی جزئیات آن را تشریح کرد، این بدافزار از یک روتکیت حالت کاربر، یک تروجان و یک اسکریپت استقرار اولیه تشکیل شده است.
این اسکریپت که بهنظر میرسد برای اهداف آزمایشی ساخته شده است برای رسیدن به پایداری با تعریف یک کاربر جدید در سیستم و برای بهروزرسانی نسخههای قدیمیتر درصورت آسیب دیدن سیستم استفاده میشود. سپس این اسکریپت یک آرشیو حاوی روتکیت، تروجان و اسکریپت استقرار اولیه را دانلود میکند.
پس از آنکه مؤلفههای بدافزار نصب شدند، تروجان اجرا میشود و روتکیت به سازوکار LD_PRELOAD اضافه میشود. علاوهبرآن، متغیرهای محیطی مختلف تنظیم میشوند و اسکریپت تلاش میکند تا تروجان را با اضافه کردن آن به /etc/rc.local پایدار سازد. تجزیه و تحلیلها نشان میدهد که برخی از متغیرهای محیطی موجود در بدافزار از روتکیت متنباز Azazel بر گرفته میشود. روتکیت HiddenWasp نیز نشان میدهد که از یک الگوریتم مشابه الگوریتم استفادهشده توسط Mirai در گذشته و کدهایی از این بدافزار استفاده شده است.
بهطور عمده روتکیت برای پیادهسازی سازوکارهای مخفیسازی و یک اتصال TCP مخفی طراحی شده است. این تروجان با باتنت Elknot و بدافزار دیگر ChinaZ ارتباط کدی دارد و نشان میدهد که نویسندهی HiddenWasp از پیادهسازیهای به اشتراک گذاشته شده در انجمنهای نفوذ چینی استفاده کرده است.
زمانیکه این تروجان اجرا شد، پیکربندی خود را بازیابی و آن را رمزگشایی میکند و سپس تلاش میکند تا مکان پیشفرض مسیر پویای LD_PRELOAD لینکر را تغییر دهد. سپس یک نخ برای نصب روتکیت بااستفاده از مسیر LD_PRELOAD راهاندازی میکند و نشست خود را پنهان میکند.
پژوهشگران امنیتی همچنین برخی محصولات متعلق به روتکیت متنباز چینی مربوط به Adore-ng لینوکس کشف کردهاند که نشان میدهد HiddenWasp سیستمهایی را هدف قرار میدهد که ممکن است قبلاً با برخی از نسخههای این روتکیت آسیب دیده باشند.