Onderzoekers ontdekken Linux-versie van Winnti-malware

Beveiligingsonderzoekers van Chronicle hebben voor het eerst een Linux-variant van Winnti-malware ondekt. Volgens de cyberbeveiligingsdivisie van Alphabet werkt de Linux-versie als een achterdeur voor geïnfecteerde hosts, waardoor aanvallers toegang krijgen tot gecompromitteerde systemen.

De Linux-versie zou veel overeenkomsten vertonen met de in 2015 ontdekte Windows versie van de Winnti-malware volgens ZDNet. Het is een populaire hacktool waar Beijing-hackers het afgelopen decennium veel gebruik van maakten. De Windows-versie van de malware werd eerder gebruikt in de hack van een Vietnamees gamebedrijf. 

Bayer

De ontdekte Linux-variant bestaat uit twee delen: een rootkit-component om de malware te verbergen voor geïnfecteerde hosts en de eigenlijke backdoor-trojan. Chronicle ontdekte de nieuwe variant nadat afgelopen maand bekend werd dat Bayer, een van ’s werelds grootste farmaceutische bedrijven, was getroffen door Chinese hackers. Hierbij werd Winnti-malware op de systemen aangetroffen.

Tijdens de daaropvolgende scans van Winnti-malware op het VirusTotal-platform, constateerde Chronicle dat het om een Linux-variant ging. Er bleek sprake te zijn van codegelijkenis tussen de Linux-versie en de Winnti 2.0 Windows-versie. Bovendien omvat de Linux-versie net als de Windows-variant een vergelijkbare manier waarop uitgaande communicatie behandelt met zijn command-and-control (C&C) -server. Het gaat om een mengsel van meerdere protocollen, zoals ICMP, HTTP en aangepaste TCP- en UDP-protocollen.

Overeenkomsten Windows variant

Verder beschikt de Linux-versie ook over een andere functie die kenmerkend was voor de Windows-variant. Chinese hackers initiëren hierbij verbindingen tot geïnfecteerde hosts, zonder door de C&C-servers te gaan. “Dit secundaire communicatiekanaal kan door operators worden gebruikt, wanneer toegang tot de hardgecodeerde bedieningsservers wordt verstoord”, aldus een van de onderzoekers.

Linux-malware is vrij zeldzaam, al staan zogeheten ‘nation-state hacker’ groeperingen, die gekoppeld zijn aan de Amerikaanse en Russische overheden, wel bekend om het gebruik van Linux-malware. ”Specifiek Linux-tooling van Chinese advanced persistent threat’s (APT’s) is zeldzaam, maar niet ongehoord. In het verleden hadden tools zoals HKdoor, Htran en Derusbi allemaal Linux-varianten”, aldus Silas Cutler, Reverse Engineering Lead bij Chronicle.

 

Lees ook: Zuid-Koreaanse overheid kiest Linux boven Windows