Редким примером того, как вредоносное ПО, изначально созданное для Windows, впоследствии было адаптировано к Linux, стала обнаруженная на просторах Сети Linux-версия трояна удалённого доступа ChaChi.
Эта программа написана на разработанном Google языке GoLang, что выделяет её на фоне типичного вредоносного ПО, которое, как правило компилируется в C или C++. Из-за этого, лишь немногие антивирусные продукты способны обнаруживать ChaChi.
Она впервые попала в поле зрения экспертов кибербезопасности в прошлом году и использовалась группой кибервымогателей PYSA (также известна под именем Mespinoza) в атаках на школы США.
ChaChi, это сокращение от ChaShell (имя провайдера «обратной оболочки через DNS») и Chisel (инструмент переадресации портов).
Linux-вариант ChaChi обнаружили исследователи из фирмы Lacework. Они также отметили, что в отличие от традиционной инфраструктуры ИТ, базирующейся главным образом на Windows, облачная инфраструктура на 80 и более процентов основана на Linux. Таким образом, открытие портированного на Linux трояна ясно сигнализирует о том, что банды ransomware и другие киберпреступники переносят внимание на облачные цели.
Linux-версия ChaChi имеет ту же базовую функциональность, что и исходный троян для Windows, отличается большим размером файла (более 8 МБ) и использует обфускатор кода под названием Gobfuscate.
Вредоносная программа использует специальные серверы имен, одновременно выступающие C&C-центрами, для поддержки протокола туннелирования DNS. Интересно, что IP-адреса двух доменов разрешаются как принадлежащие хостингу Global Accelerator компании AWS, хотя могут быть связаны с доменами, регистрируемыми фирмой Namecheap.
«Многие злоумышленники нацеливаются на несколько архитектур, чтобы увеличить свою базу операций, это может быть мотивом здесь и может отражать эволюцию деятельности PYSA, — заключают представители Lacework. — Хотя программы-вымогатели редко атакуют серверы Linux и облачную инфраструктуру, такая возможность по-прежнему представляет реальную угрозу для бизнес-операций и данных клиентов».