Keamanan cyber (terbuka di tab baru) peneliti telah menemukan beberapa berbahaya Linux (terbuka di tab baru) binari yang telah berhasil menyelinap melewati sebagian besar anti Virus (terbuka di tab baru) produk.
Setelah pemeriksaan lebih dekat, para peneliti di AT&T Alien Labs mengidentifikasi binari ini sebagai versi modifikasi dari sumber terbuka (terbuka di tab baru) Pintu belakang Prism yang telah digunakan di beberapa kampanye sebelumnya.
“Kami telah melakukan penyelidikan lebih lanjut terhadap sampel dan menemukan bahwa beberapa kampanye yang menggunakan executable berbahaya ini berhasil tetap aktif dan berada di bawah radar selama lebih dari 3,5 tahun. Sampel tertua yang dapat dikaitkan Alien Labs ke salah satu aktor berasal dari tanggal 8 November 2017,” perhatikan para peneliti (terbuka di tab baru).
Menyebut Prism sebagai backdoor “sederhana dan lugas” yang mudah dideteksi, para peneliti mencatat bahwa fakta bahwa biner yang dimodifikasi telah berhasil menghindari deteksi selama beberapa tahun mungkin merupakan hasil dari infrastruktur keamanan yang memfokuskan upayanya pada kampanye yang lebih besar, memungkinkan yang lebih kecil untuk menyelinap melalui celah.
Di bawah radar
Salah satu varian yang dianalisis oleh para peneliti, bernama WaterDrop, mudah diidentifikasi, tetapi masih berhasil mempertahankan skor deteksi mendekati nol di basis data VirusTotal. Selain itu, komunikasi WaterDrop dengan server command and control (C2) melalui HTTP teks biasa.
Melacak evolusi dari malware (terbuka di tab baru), para peneliti mencatat bahwa banyak yang menggunakan server C2 yang sama. Sementara varian malware sebelumnya tidak mengimplementasikan salah satu mekanisme umum yang digunakan pembuat malware untuk menghindari penandaan, seperti penyamaran, dan enkripsi, varian yang lebih baru menerapkannya, bersama dengan beberapa modifikasi lainnya.
Para peneliti beralasan bahwa pintu belakang ini terbang di bawah radar karena biasanya digunakan dalam kampanye yang lebih kecil.
“Alien Labs mengharapkan musuh untuk tetap aktif dan melakukan operasi dengan perangkat dan infrastruktur ini. Kami akan terus memantau dan melaporkan setiap temuan yang patut dicatat,” para peneliti menyimpulkan.
