Backdoor ‘RotaJakiro’ Targetkan Linux, Kelabui Mesin Deteksi VirusTotal Sejak 2018

Cyberthreat.id – Perusahaan keamanan siber China, Qihoo 360, menemukan bahwa malware “pintu belakang” (backdoor) yang menyerang Linux berjuluk “RotaJakiro” telah menghindari deteksi VirusTotal sejak 2018.

VirusTotal adalah platform online berbasis web yang menyediakan deteksi antivirus/antimalware yang mencakup basis data dari berbagai perangkat lunak antivirus terkemuka (ada sekitar 61 mesin antivirus).

RotaJakiro selama ini menargetkan sistem Linux 64-bit. Pertama kali terdeteksi pada 25 Maret lalu ketika BotMon—sistem pelacakan perintah botnet C2 untuk serangan DDoS milik Qihoo 360—menandai file yang mencurigakan.

Pada saat menemukan tersebut, menurut ZDNet, diakses (30 April 2021), peneliti Netlab di Qihoo 360 yang menggunakan VirusTotal untuk memeriksa file tersebut tak mendapati hasil apa pun. Padahal ada empat file yang telah diunggah, dua sampel pada 2018, satu sampel 2020, dan terakhir 2021.

Namun, saat berita ini dutulis, enam dari 61 mesin VirusTotal sekarang mendeteksi file “pintu belakang” itu sebagai berbahaya. Analisis lebih lanjut dapat ditemukan di Intezer.

Peneliti Netlab mengatakan malware Linux mengubah penggunaan enkripsi untuk berjalan di bawah radar antivirus, termasuk kompresi ZLIB dan kombinasi AES, XOR, dan rotasi kunci selama aktivitasnya, seperti penyamaran komunikasi peladen (server) command-and-control (C2).

Tim peneliti belum mengetahui "tujuan sebenarnya" malware itu, selain fokus pada peretasan sistem Linux.

Ada total 12 fungsi malware tersebut, di antaranya eksfiltrasi dan mencuri data, manajemen file dan plugin (termasuk query/download/delete), dan pelaporan informasi perangkat.

Dalam laporannya, Netlab mengaitkan ke botnet bernama “Torii” karena beberapa kesamaan pengkodean dalam perintah dan manajemen lalu lintas.[]