Roomajate juurkomplekt

Täheldatud on ohutegureid, kes kasutavad Lõuna-Korea Linuxi süsteemide sihtimiseks avatud lähtekoodiga juurkomplekti nimega Reptile. Erinevalt tavapärasest juurkomplekti pahavarast, mis keskendub peamiselt tegevuste varjamisele, astub Reptile täiendava sammu, pakkudes vastupidise kesta funktsiooni. See võimaldab kurja mõtlemisega osalejatel saavutada otsene kontroll ohustatud süsteemide üle, suurendades seeläbi nende võimet nendega manipuleerida ja neid ära kasutada.

Selles kontekstis kasutab pahavara tehnikat, mida nimetatakse pordi koputamiseks. See tähendab, et juurkomplekt avab nakatunud süsteemis kindla pordi ja ootab ooterežiimis. Ohuosalistelt konkreetse signaali või "võlupaketi" saamisel saab luua ühenduse ohustatud süsteemi ja ründeoperatsiooni käsu- ja juhtimisserveri (C2, C&C) vahel. Juurkomplekt on ähvardava tarkvara vorm, mis on sihilikult loodud tagama kõrgendatud juurtaseme juurdepääsu masinale, jättes samal ajal selle olemasolu häguseks. Nimelt on Reptile'i alates 2022. aastast kasutatud vähemalt neljas erinevas kampaanias.

Roomajate juurkomplekti on juba kasutanud mitmed kahjulikud kampaaniad

2022. aasta mais dokumenteerisid teadlased Reptile'i juurkomplekti kasutuselevõtu esimese eksemplari, mis omistati sissetungikomplektile nimega Earth Berberoka, mida tunnustatakse ka GamblingPuppet nime all. Selle avastuse käigus selgus, et juurkomplekti kasutati platvormideülese Pythoni troojalasega, tuntud kui Pupy RAT , seotud ühenduste ja protsesside varjamiseks. Need rünnakud olid peamiselt suunatud Hiinas asuvatele hasartmängude veebisaitidele.

2023. aasta märtsis korraldas rea rünnakuid kahtlustatav UNC3886, mis on väidetavalt seotud Hiinaga. Need rünnakud kasutasid ära nullpäeva haavatavused, et levitada koos roomajate juurkomplektiga mitmesuguseid eritellimusel valmistatud implantaate.

Sama kuu jooksul omistati Hiina häkkimisgrupile Linuxi-põhise pahavara nimega Mélofée , mis tulenes Reptile'ist. Seejärel, 2023. aasta juunis, nakatas krüptorahastamise kampaania seadmed shelliskripti tagauksega, et edastada Reptile Rootkit, varjates tõhusalt selle alamprotsesse, faile ja nende sisu oma tegevuse osana.

Roomajate juurkomplekt on varustatud täiustatud ohustamise võimalustega

Reptile'i lähemal analüüsimisel ilmneb eristav mehhanism: laaduri komponent, mis töötab koos tööriistaga, mida nimetatakse kmatryoshka. See laadija vastutab juurkomplekti kerneli mooduli dekrüpteerimise ja süsteemi mällu laadimise eest. Seejärel käivitab laadija määratud pordi avamise, sisenedes ründaja valmisolekusse saata hostile spetsiaalset signaali, mida nimetatakse võlupaketiks, kasutades sideprotokolle nagu TCP, UDP või ICMP.

Võlupaketti kapseldatud andmed sisaldavad kriitilist teavet – C2-serveri aadressi. Seda teavet kasutades luuakse vastupidine kest, mis loob ühenduse C&C serveriga. Seda pahatahtlike tegevuste käivitamise tehnikat võlupakettide kaudu on varem märgitud teises juurkomplektis nimega Syslogk. Samamoodi tuvastati Lõuna-Koreas sarnane rünnakustsenaarium, mis hõlmas roomajate juurkomplekti. Rünnak näitas mitmeid taktikalisi sarnasusi Méloféega.

Kokkuvõttes toimib Reptile Linuxi kerneli režiimi juurkomplekti pahavarana, mille peamine ülesanne on varjata faile, katalooge, protsesse ja võrgusuhtlust. Sellegipoolest on sellel ka eristatav võime: tagurpidi kesta pakkumine. See lisaomadus muudab roomajate juurkomplekti sisaldavad süsteemid ohustajate kaaperdamise suhtes potentsiaalselt haavatavaks.