Fire Chili Rootkit

קבוצת ה-APT (Advanced Persistent Threat) הסינית המרושעת Deep Panda נתפסה תוך שימוש בתוספת חדשה ומאיימת לארסנל שלהם. בשם Fire Chili, התוכנה הזדונית נכנסת לקטגוריית rootkit ומטרתה להדביק מערכות Windows. לפי הדו"ח שפורסם על ידי אנליסטים של אבטחת סייבר, ערכת שורש זו מועברת לשרתי VMware Horizon באמצעות ניצול Log4Shell ומסוגלת להשפיע על גרסאות Windows עד לעדכון Windows 10 Creators Update, אשר שוחרר באפריל 2017.

Rootkits הם סוגים מאיימים ביותר של תוכנות זדוניות, שכן הם יכולים לחפור עמוק לתוך המערכות שנפרצו ולבצע פעולות חודרניות ברמה הנמוכה ביותר, ובכך לעקוף בדיקות אבטחה רבות ואמצעים נגד תוכנות זדוניות. כדי להימנע מזיהוי על ידי כלי אנטי וירוס במהלך ההדבקה הראשונית, Fire Chili מצוידת בתעודות דיגיטליות תקפות השייכות לאולפני Frotburn (חברת מפתחי משחקים) או Comodo (מפתחת תוכנת אבטחה). החוקרים סבורים כי התעודות נוצלו שלא כדין מבעליהם המיועדים.

עם ההתחלה, Fire Chili מבצעת סדרה של בדיקות מערכת בסיסיות בניסיון לזהות סימנים של וירטואליזציה או סביבות ארגז חול. האיום גם מוודא שמבני הליבה והאובייקטים הממוקדים נמצאים במערכת. המטרה העיקרית של התוכנה הזדונית היא להסתיר את שאר הפעולות החודרניות של ההאקרים. Fire Chili יכולה להסוות פעולות קבצים, תהליכים, תוספות למערכת הרישום וחיבורי רשת לא לגיטימיים שלא יבחינו על ידי משתמשים או כלי תוכנת אבטחה. הוא מאחסן את זה בארכיון באמצעות IOCTLs (שיחות בקרת קלט/פלט) הנושאים את החפצים הפגומים שניתן להגדיר באופן דינמי על ידי גורמי האיום.