Fire Chili Rootkit

Vihainen kiinalainen APT (Advanced Persistent Threat) -ryhmä Deep Panda on jäänyt kiinni käyttämällä uutta, uhkaavaa lisäystä arsenaaliinsa. Fire Chili -niminen haittaohjelma kuuluu rootkit-luokkaan ja on tarkoitettu Windows-järjestelmien saastuttamiseen. Kyberturvallisuusanalyytikoiden julkaiseman raportin mukaan tämä rootkit toimitetaan VMware Horizon -palvelimille Log4Shell-hyödyntämisen kautta ja se pystyy vaikuttamaan Windows-versioihin huhtikuussa 2017 julkaistuun Windows 10 Creators Update -päivitykseen asti.

Rootkitit ovat äärimmäisen uhkaavia haittaohjelmia, koska ne voivat tunkeutua syvälle vaarantuneisiin järjestelmiin ja suorittaa tunkeilevia toimia alimmalla tasolla ohittaen näin lukuisat turvatarkastukset ja haittaohjelmien torjuntatoimenpiteet. Jotta virustorjuntatyökalut eivät havaitse sitä ensimmäisen tartunnan aikana, Fire Chili on varustettu voimassa olevilla digitaalisilla varmenteilla, jotka kuuluvat Frotburn Studiosille (pelien kehittäjäyritys) tai Comodolle (tietoturvaohjelmistojen kehittäjä). Tutkijat uskovat, että sertifikaatit on kavallettu niiden aiotuilta omistajilta.

Kun Fire Chili käynnistetään, se suorittaa sarjan perusjärjestelmätestejä yrittääkseen havaita merkkejä virtualisoinnista tai hiekkalaatikkoympäristöistä. Uhka varmistaa myös, että kohdistetut ydinrakenteet ja -objektit ovat järjestelmässä. Haittaohjelman päätavoite on pitää hakkerien muut tunkeilevat toimet piilossa. Fire Chili voi peittää tiedostotoiminnot, prosessit, rekisterijärjestelmän lisäykset ja laittomat verkkoyhteydet, jotta käyttäjät tai tietoturvaohjelmistotyökalut eivät huomaa niitä. Se arkistoi tämän käyttämällä IOCTL-kutsuja (input/output control system calls), jotka kuljettavat vioittuneet artefaktit, jotka uhkatekijät voivat määrittää dynaamisesti.