RotaJakiro: Linux en el punto de mira

Saber de RotaJakiro me ha recordado que, hace solo dos días, hablaba de la falsa sensación de seguridad que, durante muchos años, ha acompañado a los usuarios de macOS, una falsa seguridad que resulta muy peligrosa, puesto que empuja a muchos usuarios a actuar sin reservas, sin poner cuidado en lo que hacen, descargando y ejecutando software sin preocuparse por sus orígenes. Un mal que, en menor medida eso sí, pero también podemos encontrar en el ecosistema de Linux.

Y no hablo de amenazas menores, no, como podemos leer en el blog de Netlab 360 RotaJakiro lleva años comprometiendo la seguridad de sistemas con Linux, en los que crea una puerta trasera, que una vez establecida puede ser empleada tanto para descargar nuevas cargas útiles como para exfiltrar información de dichos sistemas. Y lo peor de todo es que no hablamos de una amenaza nueva. Pese a que la primera muestra (de cuatro) fue subida a VirusTotal en mayo de 2018, de momento no se ha contabilizado, desde entonces hasta ahora no se ha contabilizado ni una sola detección por parte de las soluciones de seguridad.

Y hay otras señales que apuntan a que la antigüedad de RotaJakiro es todavía mayor, pues si la primera muestra se remonta a 2018, los servidores de comando y control empleados por el malware tienen dominios registrados en diciembre de 2015, por lo que podemos inferir que hablamos de un malware que ya suma seis años de edad, y que durante todo este tiempo ha logrado permanecer por debajo del radar, algo comprensible, si tenemos en cuenta que su análisis nos demuestra que ha sido diseñado para operar de la manera más sigilosa posible.

A nivel funcional, RotaJakiro primero determina si el usuario es root o no root en tiempo de ejecución, con diferentes políticas de ejecución para diferentes cuentas, luego analiza los recursos sensibles relevantes, al tiempo que adopta las medidas necesarias para garantizar su persistencia y procede a enmascarar los procesos con el fin de pasar desapercibido. Y con todo el trabajo hecho, finalmente establece comunicación con el servidor de comando y control, a la espera de recibir órdenes.

Netlab aún no ha descubierto la verdadera intención de los creadores de este malware para su herramienta maliciosa debido a la falta de visibilidad en lo que respecta a los complementos que implementa en los sistemas infectados.» RotaJakiro admite un total de 12 funciones, tres de las cuales están relacionadas con la ejecución de complementos específicos«, agregaron los investigadores. «Desafortunadamente, no tenemos visibilidad de los complementos y, por lo tanto, no conocemos su verdadero propósito».

Su perfil bajo, en lo referido a difusión y visibilidad, nos invita a pensar que RotaJakiro es un malware empleado selectivamente, no difundido de manera masiva, y en este contexto encaja bastante bien la teoría de que sea empleado para exfiltrar información. Pero, sea como fuere, sobre todo lo que hace es recordarnos que cualquier sistema operativo es potencialmente inseguro, que no debemos confiarnos y que adoptar medidas de seguridad es, siempre, una buena idea.

La entrada RotaJakiro: Linux en el punto de mira es original de MuySeguridad. Seguridad informática.