DinodasRAT - новый инструмент китайского шпионажа за правительствами

Специалисты Лаборатории Касперского обнаружили Linux-версию мультиплатформенного бэкдора DinodasRAT (XDealer), нацеленного на Китай, Тайвань, Турцию и Узбекистан. Троян для удалённого доступа создан на языке C++ и способен извлекать широкий спектр конфиденциальных данных с заражённых систем.

Версия для Windows использовалась для атак на правительственные учреждения Гайаны в рамках операции Jacana в прошлом году. Linux-версия DinodasRAT (V10) была обнаружена в начале октября 2023 года. Первый известный вариант (V7) датируется 2021 годом. Он в основном направлен на дистрибутивы на базе Red Hat и Ubuntu Linux. После запуска вредонос устанавливает постоянное присутствие на хосте с использованием скриптов запуска SystemV или SystemD и периодически обращается к удалённому серверу через TCP или UDP для получения команд.

DinodasRAT может выполнять операции с файлами, изменять адреса управления и контроля, перечислять и завершать работу процессов, исполнять команды оболочки, загружать новую версию бэкдора и даже удалять себя. Также принимаются меры для избежания обнаружения средствами отладки и мониторинга, а для шифрования коммуникаций с сервером управления и контроля используется Tiny Encryption Algorithm (TEA), как и в версии для Windows.

Основное назначение DinodasRAT — получение и поддержание доступа через серверы Linux, а не разведка. Бэкдор предоставляет оператору полный контроль над заражённой машиной, что позволяет осуществлять эксфильтрацию данных и шпионаж, как заключают специалисты.