Esta variación para Linux del malware Winnti fue descubierta por investigadores de seguridad de Chronicle, y funciona como una backdoor en los hosts infectados, lo que otorga a los atacantes acceso a sistemas comprometidos.
Desde la empresa de seguridad afirman que se descubrió esta variante de Linux después de que apareciera la noticia el mes pasado de que Bayer, una de las compañías farmacéuticas más grandes del mundo, había sido atacada por piratas informáticos chinos, y se descubrió el malware Winnti en sus sistemas.
Durante las exploraciones subsiguientes del malware Winnti en su plataforma VirusTotal, Chronicle dijo que descubrió lo que parecía ser una variante de Winnti para Linux, que se remonta a 2015.
El análisis de la variante de Linux reveló que contiene dos archivos: el principal troyano de puerta trasera (libxselinux) y una biblioteca (libxselinux.so) utilizada para ocultar el malware.
Un análisis adicional reveló similitudes de código entre la versión de Linux y la versión de Windows Winnti 2.0, como se describe en los informes de Kaspersky Lab y Novetta.
Otras conexiones con la versión de Windows también incluían la forma similar en que la variante de Linux manejaba las comunicaciones salientes con su servidor de comando y control (C&C), que era una mezcla de múltiples protocolos (ICMP, HTTP y protocolos TCP y UDP personalizados).
Además, la versión de Linux también poseía otra característica que era distintiva de la versión de Windows, que era la capacidad de los hackers chinos para iniciar conexiones a hosts infectados sin pasar por los servidores de C&C.
«Los operadores pueden utilizar este canal de comunicación secundario cuando se interrumpe el acceso a los servidores de control codificados», afirmaron los investigadores de Chronicle.
Los expertos en seguridad creen que varios grupos de APT operan actualmente bajo el alero de Winnti; estos incluyen grupos etiquetados como Winnti, APT17, Gref, BARIUM, PlayfullDragon, Wicked Panda, DeputyDog, LEAD, Axiom, ShadowPad y PassCV.
Fuente: nivel4.com