Fire Chili Rootkit

Ohavná čínská skupina Deep Panda APT (Advanced Persistent Threat) byla přistižena pomocí nového, hrozivého přírůstku do svého arzenálu. Malware s názvem Fire Chili spadá do kategorie rootkit a je zaměřen na infikování systémů Windows. Podle zprávy zveřejněné analytiky kybernetické bezpečnosti je tento rootkit dodáván na servery VMware Horizon prostřednictvím exploitu Log4Shell a je schopen ovlivnit verze Windows až po aktualizaci Windows 10 Creators Update, která byla vydána v dubnu 2017.

Rootkity jsou extrémně nebezpečné typy malwaru, protože se mohou zavrtat hluboko do kompromitovaných systémů a provádět rušivé akce na nejnižší úrovni, čímž obcházejí četné bezpečnostní kontroly a opatření proti malwaru. Aby se předešlo detekci antivirovými nástroji během počáteční infekce, je Fire Chili vybaven platnými digitálními certifikáty, které patří Frotburn Studios (společnost zabývající se vývojem her) nebo Comodo (vývojář bezpečnostního softwaru). Vědci se domnívají, že certifikáty byly zpronevěřeny jejich zamýšleným vlastníkům.

Po spuštění Fire Chili provede řadu základních systémových testů ve snaze detekovat známky virtualizace nebo sandboxových prostředí. Hrozba také zajišťuje, že cílené struktury a objekty jádra jsou přítomny v systému. Hlavním cílem malwaru je udržet ostatní rušivé akce hackerů skryté. Fire Chili dokáže zamaskovat operace se soubory, procesy, doplňky do systému registru a nelegitimní síťová připojení, aby si jich uživatelé nebo bezpečnostní softwarové nástroje nevšimli. Archivuje to pomocí IOCTL (input/output control system call), které přenášejí poškozené artefakty, které mohou být dynamicky konfigurovány aktéry hrozeb.