Reptile Rootkit

Uhkatoimijoiden on havaittu käyttävän avoimen lähdekoodin rootkit-nimistä Reptile kohdistaakseen Linux-järjestelmiin Etelä-Koreassa. Toisin kuin perinteiset rootkit-haittaohjelmat, jotka keskittyvät pääasiassa toimintojen piilottamiseen, Reptile ottaa ylimääräisen askeleen tarjoamalla käänteisen kuoritoiminnon. Tämän ansiosta pahamieliset toimijat voivat saada suoran hallinnan vaarantuneisiin järjestelmiin, mikä lisää heidän kykyään manipuloida ja hyödyntää niitä.

Tässä yhteydessä haittaohjelma käyttää tekniikkaa, jota kutsutaan "portin koputukseksi". Tämä tarkoittaa, että rootkit avaa tietyn portin tartunnan saaneessa järjestelmässä ja odottaa valmiustilassa. Vastaanotettuaan tietyn signaalin tai "taikapaketin" uhkatoimijoilta voidaan muodostaa yhteys vaarantuneen järjestelmän ja hyökkäysoperaation Command-and-Control (C2, C&C) palvelimen välille. Rootkit on eräänlainen uhkaava ohjelmisto, joka on tarkoituksella suunniteltu tarjoamaan korkeammat, juuritason käyttöoikeudet koneeseen samalla, kun se hämärtää sen läsnäoloa. Huomionarvoista on, että Reptileä on käytetty vähintään neljässä erillisessä kampanjassa vuodesta 2022 lähtien.

Useat haitalliset kampanjat ovat jo käyttäneet matelijajuuripakettia

Toukokuussa 2022 tutkijat dokumentoivat Reptile-rootkit-käyttöönoton ensimmäisen kerran, joka johtui Earth Berberoka -nimisestä tunkeutumisjoukosta, joka tunnetaan myös GamblingPuppet-nimellä. Tämän löydön aikana paljastettiin, että rootkitiä käytettiin peittämään yhteyksiä ja prosesseja, jotka oli linkitetty monialustaiseen Python-troijalaiseen, joka tunnetaan nimellä Pupy RAT . Nämä hyökkäykset kohdistuivat pääasiassa Kiinassa sijaitseviin rahapelisivustoihin.

Maaliskuussa 2023 sarjan hyökkäyksiä järjesti epäilty uhkatekijä, joka tunnetaan nimellä UNC3886 ja jonka kerrotaan liittyvän Kiinaan. Näissä hyökkäyksissä hyödynnettiin nollapäivän haavoittuvuuksia ja jaettiin joukko räätälöityjä implantteja Reptile-rootkitin rinnalle.

Samassa kuukaudessa Linux-pohjaisen Mélofée -nimisen haittaohjelman käyttö, joka on johdettu Reptilesta, katsottiin kiinalaisen hakkerointiryhmän syyksi. Sitten kesäkuussa 2023 kryptojacking-kampanja tartutti laitteet shell-skriptin takaovella reptile Rootkit -paketin toimittamiseksi, mikä piilotti tehokkaasti sen aliprosessit, tiedostot ja niiden sisällön osana toimintaansa.

Reptile Rootkit on varustettu edistyneillä uhkausominaisuuksilla

Matelijan tarkemman analyysin jälkeen tulee esiin erottuva mekanismi: latauskomponentti, joka toimii yhdessä kmatryoshka-nimisen työkalun kanssa. Tämä lataaja on vastuussa rootkit-ytimen salauksen purkamisesta ja lataamisesta järjestelmän muistiin. Tämän jälkeen lataaja aloittaa määritetyn portin avaamisen, jolloin hyökkääjä on valmiina lähettämään erityisen signaalin, jota kutsutaan taikapaketiksi, isännälle käyttämällä tietoliikenneprotokollia, kuten TCP, UDP tai ICMP.

Taikapaketin sisällä kapseloitu data sisältää kriittistä tietoa - C2-palvelimen osoitteen. Näitä tietoja käyttämällä muodostetaan käänteinen kuori, joka muodostaa yhteyden C&C-palvelimeen. Tämä tekniikka laukaista haitallisia toimintoja taikapakettien avulla, on aiemmin huomattu toisessa Syslogk-nimisessä rootkitissä. Samaan tapaan Etelä-Koreassa havaittiin samanlainen hyökkäysskenaario, jossa oli mukana Reptile rootkit. Hyökkäys osoitti useita taktisia yhtäläisyyksiä Méloféen kanssa.

Yhteenvetona Reptile toimii Linux-ytimen tilan rootkit-haittaohjelmana, jonka ensisijaisena tehtävänä on piilottaa tiedostoja, hakemistoja, prosesseja ja verkkoliikennettä. Siitä huolimatta siinä on myös erottuva ominaisuus: käänteisen kuoren tarjoaminen. Tämä lisäominaisuus tekee Reptile Rootkit -järjestelmän sisältävistä järjestelmistä mahdollisesti haavoittuvia uhkatoimijoiden kaappauksille.