Rootkit de rèptils

S'ha observat que els actors d'amenaça utilitzen un rootkit de codi obert anomenat Reptile per orientar els sistemes Linux a Corea del Sud. A diferència del programari maliciós rootkit convencional que se centra principalment a ocultar activitats, Reptile fa un pas addicional oferint una funcionalitat de shell inversa. Això permet als actors malintencionats obtenir el control directe dels sistemes compromesos, ampliant així la seva capacitat per manipular-los i explotar-los.

En aquest context, el programari maliciós utilitza una tècnica anomenada "port knocking". Això implica que el rootkit obre un port específic en un sistema infectat i espera en mode d'espera. En rebre un senyal específic o "paquet màgic" dels actors de l'amenaça, es pot establir una connexió entre el sistema compromès i el servidor de comandament i control (C2, C&C) de l'operació d'atac. Un rootkit és una forma de programari amenaçador dissenyat deliberadament per oferir un accés elevat i de nivell arrel a una màquina alhora que ofusca la seva presència. En particular, Reptile s'ha utilitzat en almenys quatre campanyes diferents des de l'any 2022.

Diverses campanyes nocives ja han emprat l'arrel de rèptils

El maig de 2022, els investigadors van documentar la primera instància del desplegament del rootkit Reptile, atribuïda a un conjunt d'intrusions anomenat Earth Berberoka, també reconegut com a GamblingPuppet. Durant aquest descobriment, es va revelar que el rootkit es va utilitzar per ocultar connexions i processos vinculats a un troià Python multiplataforma, conegut com Pupy RAT . Aquests atacs es van dirigir principalment a llocs web de jocs d'atzar situats a la Xina.

El març de 2023, un presumpte actor d'amenaça conegut com a UNC3886 va orquestrar una sèrie d'atacs, que sembla estar vinculat a la Xina. Aquests atacs van aprofitar les vulnerabilitats de dia zero per distribuir una sèrie d'implants fets a mida, juntament amb el rootkit Reptile.

Durant el mateix mes, l'ús d'un programari maliciós basat en Linux anomenat Mélofée , derivat de Reptile, es va atribuir a un grup de pirateria xinesa. Aleshores, el juny de 2023, una campanya de criptojacking va infectar dispositius amb una porta del darrere de l'script d'intèrpret d'ordres per lliurar el Reptile Rootkit, ocultant eficaçment els seus processos, fitxers i el seu contingut fill com a part de les seves operacions.

El kit arrel de rèptils està equipat amb un conjunt avançat de capacitats amenaçadores

Després d'una anàlisi més propera de Reptile, sorgeix un mecanisme distintiu: un component del carregador que funciona conjuntament amb una eina anomenada kmatryoshka. Aquest carregador és responsable de desxifrar i carregar el mòdul del nucli del rootkit a la memòria del sistema. Posteriorment, el carregador inicia l'obertura d'un port designat, entrant en un estat de preparació perquè un atacant enviï un senyal especial, conegut com a paquet màgic, a l'amfitrió mitjançant protocols de comunicació com TCP, UDP o ICMP.

Les dades encapsulades dins del paquet màgic contenen informació crítica: l'adreça del servidor C2. Utilitzant aquesta informació, s'estableix un shell invers que es connecta al servidor C&C. Aquesta tècnica de desencadenar activitats malicioses mitjançant paquets màgics s'ha observat anteriorment en un altre rootkit anomenat Syslogk. En la mateixa línia, es va detectar un escenari d'atac similar amb el rootkit Reptile a Corea del Sud. L'atac va mostrar diverses semblances tàctiques amb Mélofée.

En resum, Reptile funciona com a programari maliciós rootkit en mode nucli de Linux amb una funció principal d'ocultar fitxers, directoris, processos i comunicacions de xarxa. No obstant això, també presenta una capacitat distintiva: la disposició d'una carcassa inversa. Aquest tret addicional fa que els sistemes que alberguen l'arrel de rèptils siguin potencialment vulnerables al segrest per part d'actors d'amenaça.