ערכת שורש זוחלים

נצפו שחקני איומים משתמשים ב-rootkit בקוד פתוח בשם Reptile כדי למקד למערכות לינוקס בדרום קוריאה. בניגוד לתוכנות זדוניות קונבנציונליות של rootkit המתמקדות בעיקר בהסתרת פעילויות, Reptile עושה צעד נוסף על ידי מתן פונקציונליות של מעטפת הפוכה. זה מאפשר לשחקנים בעלי דעות רעות להשיג שליטה ישירה על מערכות שנפגעו, ובכך להגביר את יכולתם לתמרן ולנצל אותן.

בהקשר זה, הטכניקה הנקראת 'דפיקת יציאות' מופעלת על ידי התוכנה הזדונית. זה כרוך ב-Rootkit פותח יציאה ספציפית במערכת נגועה וממתין במצב המתנה. עם קבלת אות ספציפי או 'חבילת קסם' מגורמי האיום, ניתן ליצור חיבור בין המערכת שנפרצה לשרת ה-Command-and-Control (C2, C&C) של פעולת התקיפה. Rootkit היא צורה של תוכנה מאיימת שהונדסה במכוון כדי לספק גישה מוגבהת ברמת השורש למכונה ובמקביל לטשטש את נוכחותה. יש לציין, שזוחלים נוצל לפחות בארבעה מסעות פרסום שונים מאז שנת 2022.

מספר קמפיינים מזיקים כבר השתמשו ב-Rootkit של זוחלים

במאי 2022, חוקרים תיעדו את המקרה הראשון של פריסת ה-Rootkit של זוחלים, המיוחסת לסט חדירה בשם Earth Berberoka, המוכר גם בתור GamblingPuppet. במהלך גילוי זה, נחשף כי ה-rootkit נוצל כדי להסוות חיבורים ותהליכים הקשורים ל-Python Trojan חוצה פלטפורמות, המכונה Pupy RAT . התקפות אלו כוונו בעיקר לאתרי הימורים הממוקמים בסין.

במרץ 2023, סדרה של תקיפות תוזמנה על ידי שחקן חשוד כאיום הידוע בשם UNC3886, על פי הדיווחים קשור לסין. התקפות אלו ניצלו פגיעויות של יום אפס כדי להפיץ מערך של שתלים מותאמים אישית, לצד ערכת השורש של הזוחלים.

באותו חודש, השימוש בתוכנה זדונית מבוססת לינוקס בשם Mélofée , שמקורה ב-Reptile, יוחס לקבוצת פריצה סינית. לאחר מכן, ביוני 2023, מסע פרסום קריפטו הדביק מכשירים עם דלת אחורית של סקריפט מעטפת כדי לספק את ערכת השורש של הזוחלים, ולמעשה הסתיר את התהליכים הצאצאים, הקבצים והתוכן שלהם כחלק מפעולותיו.

ערכת השורש של הזוחלים מצוידת בסט מתקדם של יכולות מאיימות

לאחר ניתוח מדוקדק יותר של זוחל, עולה מנגנון ייחודי: רכיב מעמיס הפועל במקביל לכלי הנקרא kmatryoshka. מטעין זה אחראי על פענוח וטעינת מודול הליבה של ה-rootkit לזיכרון המערכת. לאחר מכן, הטוען יוזם פתיחה של יציאה ייעודית, נכנס למצב של מוכנות לתוקף לשלוח אות מיוחד, המכונה חבילת קסם, למארח באמצעות פרוטוקולי תקשורת כמו TCP, UDP או ICMP.

הנתונים המובלעים בתוך חבילת הקסם מכילים מידע קריטי - הכתובת של שרת C2. תוך שימוש במידע זה, נוצרת מעטפת הפוכה המתחברת לשרת C&C. טכניקה זו של הפעלת פעילויות זדוניות באמצעות חבילות קסם צוינה בעבר בערכת שורש אחרת בשם Syslogk. באותה צורה זוהה תרחיש תקיפה דומה הכולל את ערכת השורש של הזוחלים בדרום קוריאה. ההתקפה הראתה כמה קווי דמיון טקטיים ל-Mélofée.

לסיכום, Reptile מתפקד כתוכנה זדונית של Rootkit במצב ליבת לינוקס עם פונקציה ראשית של הסתרת קבצים, ספריות, תהליכים ותקשורת רשת. עם זאת, הוא גם מציג יכולת ייחודית: אספקת מעטפת הפוכה. תכונה נוספת זו הופכת מערכות המכילות את ערכת השורש הזוחלים לפגיעות בפוטנציה לחטיפה על ידי גורמי איומים.