সরীসৃপ রুটকিট
দক্ষিণ কোরিয়ার লিনাক্স সিস্টেমগুলিকে টার্গেট করার জন্য রিপটাইল নামে একটি ওপেন-সোর্স রুটকিট নিয়োগ করতে দেখা গেছে হুমকি অভিনেতাদের। প্রচলিত রুটকিট ম্যালওয়্যারের বিপরীতে যা প্রাথমিকভাবে গোপনীয় কার্যকলাপের উপর দৃষ্টি নিবদ্ধ করে, সরীসৃপ একটি বিপরীত শেল কার্যকারিতা অফার করে একটি অতিরিক্ত পদক্ষেপ নেয়। এটি মন্দ মানসিকতার অভিনেতাদের আপোসকৃত সিস্টেমের উপর সরাসরি নিয়ন্ত্রণ লাভ করতে সক্ষম করে, যার ফলে তাদের ম্যানিপুলেট এবং শোষণ করার ক্ষমতা বৃদ্ধি পায়।
এই প্রসঙ্গে, ম্যালওয়্যার দ্বারা 'পোর্ট নকিং' নামে একটি কৌশল নিযুক্ত করা হয়। এতে রুটকিট একটি সংক্রমিত সিস্টেমে একটি নির্দিষ্ট পোর্ট খোলা এবং স্ট্যান্ডবাই মোডে অপেক্ষা করা জড়িত। হুমকি অভিনেতাদের কাছ থেকে একটি নির্দিষ্ট সংকেত বা 'ম্যাজিক প্যাকেট' পাওয়ার পরে, আপোষকৃত সিস্টেম এবং আক্রমণ অপারেশনের কমান্ড-এন্ড-কন্ট্রোল (C2, C&C) সার্ভারের মধ্যে একটি সংযোগ স্থাপন করা যেতে পারে। রুটকিট হল একধরনের হুমকি সফ্টওয়্যার যা ইচ্ছাকৃতভাবে একটি মেশিনে উন্নত, রুট-লেভেল অ্যাক্সেস সরবরাহ করার জন্য তৈরি করা হয় এবং একই সাথে এর উপস্থিতি অস্পষ্ট করে। উল্লেখযোগ্যভাবে, সরীসৃপ 2022 সাল থেকে কমপক্ষে চারটি স্বতন্ত্র প্রচারে ব্যবহার করা হয়েছে।
বেশ কিছু ক্ষতিকর প্রচারাভিযান ইতিমধ্যেই সরীসৃপ রুটকিট নিযুক্ত করেছে
2022 সালের মে মাসে, গবেষকরা সরীসৃপ রুটকিট স্থাপনের প্রথম দৃষ্টান্ত নথিভুক্ত করেছেন, যা আর্থ বারবেরোকা নামক একটি অনুপ্রবেশ সেটের জন্য দায়ী, যা গ্যাম্বলিংপুপেট হিসাবেও স্বীকৃত। এই আবিষ্কারের সময়, এটি প্রকাশিত হয়েছিল যে রুটকিটটি একটি ক্রস-প্ল্যাটফর্ম পাইথন ট্রোজানের সাথে সংযুক্ত সংযোগ এবং প্রক্রিয়াগুলিকে ক্লোক করার জন্য ব্যবহার করা হয়েছিল, যা পপি র্যাট নামে পরিচিত। এই আক্রমণগুলি প্রাথমিকভাবে চীনে অবস্থিত জুয়ার ওয়েবসাইটগুলিতে পরিচালিত হয়েছিল৷
2023 সালের মার্চ মাসে, চীনের সাথে যুক্ত UNC3886 নামে পরিচিত একজন সন্দেহভাজন হুমকি অভিনেতার দ্বারা সিরিজ আক্রমণের আয়োজন করা হয়েছিল। এই আক্রমণগুলি শূন্য-দিনের দুর্বলতাকে পুঁজি করে সরীসৃপ রুটকিটের পাশাপাশি কাস্টম-তৈরি ইমপ্লান্টের একটি অ্যারে বিতরণ করে।
একই মাসের মধ্যে, সরীসৃপ থেকে উদ্ভূত Mélofée নামে একটি লিনাক্স-ভিত্তিক ম্যালওয়্যারের ব্যবহার একটি চীনা হ্যাকিং গ্রুপের জন্য দায়ী করা হয়েছিল। তারপরে, 2023 সালের জুনে, একটি ক্রিপ্টোজ্যাকিং প্রচারাভিযান রেপটাইল রুটকিট সরবরাহ করার জন্য শেল স্ক্রিপ্টের ব্যাকডোর দিয়ে ডিভাইসগুলিকে সংক্রামিত করেছিল, কার্যকরভাবে এর শিশু প্রক্রিয়া, ফাইল এবং তাদের ক্রিয়াকলাপের অংশ হিসাবে তাদের বিষয়বস্তু গোপন করে।
সরীসৃপ রুটকিট হুমকির ক্ষমতার একটি উন্নত সেট দিয়ে সজ্জিত
সরীসৃপকে ঘনিষ্ঠভাবে বিশ্লেষণ করার পর, একটি স্বতন্ত্র পদ্ধতির উদ্ভব হয়: একটি লোডার উপাদান যা kmatryoshka নামক একটি টুলের সাহায্যে কাজ করে। এই লোডারটি সিস্টেমের মেমরিতে রুটকিটের কার্নেল মডিউল ডিক্রিপ্ট এবং লোড করার জন্য দায়ী। পরবর্তীকালে, লোডারটি একটি মনোনীত পোর্ট খোলার সূচনা করে, আক্রমণকারীর জন্য TCP, UDP বা ICMP-এর মতো যোগাযোগ প্রোটোকল ব্যবহার করে হোস্টের কাছে একটি বিশেষ সংকেত, যাকে একটি ম্যাজিক প্যাকেট হিসাবে উল্লেখ করা হয়, পাঠানোর জন্য প্রস্তুতির অবস্থায় প্রবেশ করে।
ম্যাজিক প্যাকেটের মধ্যে এনক্যাপসুলেট করা ডেটাতে গুরুত্বপূর্ণ তথ্য রয়েছে - C2 সার্ভারের ঠিকানা। এই তথ্য ব্যবহার করে, একটি বিপরীত শেল প্রতিষ্ঠিত হয়, C&C সার্ভারের সাথে সংযোগ করে। ম্যাজিক প্যাকেটের মাধ্যমে দূষিত ক্রিয়াকলাপগুলিকে ট্রিগার করার এই কৌশলটি পূর্বে Syslogk নামে আরেকটি রুটকিটে উল্লেখ করা হয়েছে। একই শিরায়, দক্ষিণ কোরিয়াতে সরীসৃপ রুটকিটের সাথে জড়িত অনুরূপ আক্রমণের দৃশ্য সনাক্ত করা হয়েছিল। আক্রমণটি মেলোফির সাথে বেশ কয়েকটি কৌশলগত সাদৃশ্য প্রদর্শন করেছিল।
সংক্ষেপে, সরীসৃপ একটি লিনাক্স কার্নেল মোড রুটকিট ম্যালওয়্যার হিসাবে ফাইল, ডিরেক্টরি, প্রসেস এবং নেটওয়ার্ক যোগাযোগ গোপন করার প্রাথমিক কাজ করে। তবুও, এটি একটি স্বতন্ত্র ক্ষমতাও উপস্থাপন করে: একটি বিপরীত শেলের বিধান। এই অতিরিক্ত বৈশিষ্ট্যটি রেন্ডারিং সিস্টেমগুলিকে রেন্ডার করে যা সরীসৃপ রুটকিটকে হুমকির অভিনেতাদের দ্বারা হাইজ্যাক করার সম্ভাব্য ঝুঁকিপূর্ণ।