Reptile Rootkit

Παράγοντες απειλών έχουν παρατηρηθεί να χρησιμοποιούν ένα rootkit ανοιχτού κώδικα που ονομάζεται Reptile για να στοχεύουν συστήματα Linux στη Νότια Κορέα. Σε αντίθεση με το συμβατικό κακόβουλο λογισμικό rootkit που επικεντρώνεται κυρίως στην απόκρυψη δραστηριοτήτων, το Reptile κάνει ένα επιπλέον βήμα προσφέροντας μια λειτουργία αντίστροφου κελύφους. Αυτό δίνει τη δυνατότητα στους κακοπροαίρετους ηθοποιούς να αποκτήσουν άμεσο έλεγχο σε παραβιασμένα συστήματα, ενισχύοντας έτσι την ικανότητά τους να τα χειρίζονται και να τα εκμεταλλεύονται.

Σε αυτό το πλαίσιο, μια τεχνική που ονομάζεται "port knocking" χρησιμοποιείται από το κακόβουλο λογισμικό. Αυτό περιλαμβάνει το rootkit το άνοιγμα μιας συγκεκριμένης θύρας σε ένα μολυσμένο σύστημα και την αναμονή σε κατάσταση αναμονής. Με τη λήψη ενός συγκεκριμένου σήματος ή ενός «μαγικού πακέτου» από τους παράγοντες απειλής, μπορεί να δημιουργηθεί μια σύνδεση μεταξύ του παραβιασμένου συστήματος και του διακομιστή Command-and-Control (C2, C&C) της επιχείρησης επίθεσης. Το rootkit είναι μια μορφή απειλητικού λογισμικού που έχει σχεδιαστεί σκόπιμα για να παρέχει αυξημένη πρόσβαση σε επίπεδο ρίζας σε ένα μηχάνημα, ενώ ταυτόχρονα συσκοτίζει την παρουσία του. Συγκεκριμένα, το Reptile έχει χρησιμοποιηθεί σε τουλάχιστον τέσσερις διαφορετικές καμπάνιες από το έτος 2022.

Πολλές επιβλαβείς καμπάνιες έχουν ήδη χρησιμοποιήσει το Reptile Rootkit

Τον Μάιο του 2022, οι ερευνητές τεκμηρίωσαν την πρώτη περίπτωση ανάπτυξης του rootkit Reptile, που αποδόθηκε σε ένα σύνολο εισβολής που ονομάζεται Earth Berberoka, που επίσης αναγνωρίζεται ως GamblingPuppet. Κατά τη διάρκεια αυτής της ανακάλυψης, αποκαλύφθηκε ότι το rootkit χρησιμοποιήθηκε για την απόκρυψη συνδέσεων και διεργασιών που συνδέονται με έναν Trojan Python μεταξύ πλατφορμών, γνωστό ως Pupy RAT . Αυτές οι επιθέσεις απευθύνονταν κυρίως σε ιστότοπους τυχερών παιχνιδιών που βρίσκονται στην Κίνα.

Τον Μάρτιο του 2023, μια σειρά επιθέσεων ενορχηστρώθηκαν από έναν ύποπτο παράγοντα απειλής γνωστό ως UNC3886, ο οποίος φέρεται να συνδέεται με την Κίνα. Αυτές οι επιθέσεις αξιοποίησαν τα τρωτά σημεία zero-day για να διανείμουν μια σειρά από ειδικά κατασκευασμένα εμφυτεύματα, παράλληλα με το rootkit Reptile.

Μέσα στον ίδιο μήνα, η χρήση ενός κακόβουλου λογισμικού που βασίζεται σε Linux με το όνομα Mélofée , που προέρχεται από το Reptile, αποδόθηκε σε μια κινεζική ομάδα hacking. Στη συνέχεια, τον Ιούνιο του 2023, μια καμπάνια cryptojacking μόλυναν συσκευές με μια κερκόπορτα σεναρίου κελύφους για να παραδώσει το Reptile Rootkit, αποκρύπτοντας ουσιαστικά τις θυγατρικές διεργασίες, τα αρχεία και το περιεχόμενό τους ως μέρος των λειτουργιών του.

Το Reptile Rootkit είναι εξοπλισμένο με ένα προηγμένο σύνολο από απειλητικές δυνατότητες

Μετά από πιο προσεκτική ανάλυση του Reptile, εμφανίζεται ένας χαρακτηριστικός μηχανισμός: ένα εξάρτημα φορτωτή που λειτουργεί παράλληλα με ένα εργαλείο που ονομάζεται kmatryoshka. Αυτός ο φορτωτής είναι υπεύθυνος για την αποκρυπτογράφηση και τη φόρτωση της μονάδας πυρήνα του rootkit στη μνήμη του συστήματος. Στη συνέχεια, ο φορτωτής ξεκινά το άνοιγμα μιας καθορισμένης θύρας, μπαίνοντας σε κατάσταση ετοιμότητας για έναν εισβολέα να στείλει ένα ειδικό σήμα, που αναφέρεται ως μαγικό πακέτο, στον κεντρικό υπολογιστή χρησιμοποιώντας πρωτόκολλα επικοινωνίας όπως TCP, UDP ή ICMP.

Τα δεδομένα που ενσωματώνονται μέσα στο μαγικό πακέτο περιέχουν κρίσιμες πληροφορίες—τη διεύθυνση του διακομιστή C2. Χρησιμοποιώντας αυτές τις πληροφορίες, δημιουργείται ένα αντίστροφο κέλυφος, που συνδέεται με τον διακομιστή C&C. Αυτή η τεχνική ενεργοποίησης κακόβουλων δραστηριοτήτων μέσω μαγικών πακέτων έχει σημειωθεί παλαιότερα σε ένα άλλο rootkit που ονομάζεται Syslogk. Στο ίδιο πνεύμα, ένα παρόμοιο σενάριο επίθεσης που αφορούσε το rootkit Reptile εντοπίστηκε στη Νότια Κορέα. Η επίθεση παρουσίαζε αρκετές τακτικές ομοιότητες με τον Mélofée.

Συνοπτικά, το Reptile λειτουργεί ως κακόβουλο λογισμικό rootkit λειτουργίας πυρήνα Linux με κύρια λειτουργία την απόκρυψη αρχείων, καταλόγων, διεργασιών και επικοινωνιών δικτύου. Παρόλα αυτά, παρουσιάζει επίσης μια χαρακτηριστική ικανότητα: την παροχή ενός αντίστροφου κελύφους. Αυτό το πρόσθετο χαρακτηριστικό καθιστά τα συστήματα που φιλοξενούν το Reptile Rootkit δυνητικά ευάλωτα σε αεροπειρατεία από παράγοντες απειλών.