सरीसृप रूटकिट
दक्षिण कोरिया में लिनक्स सिस्टम को लक्षित करने के लिए रेप्टाइल नामक एक ओपन-सोर्स रूटकिट का उपयोग करते हुए खतरनाक अभिनेताओं को देखा गया है। पारंपरिक रूटकिट मैलवेयर के विपरीत, जो मुख्य रूप से गतिविधियों को छिपाने पर ध्यान केंद्रित करता है, रेप्टाइल रिवर्स शेल कार्यक्षमता की पेशकश करके एक अतिरिक्त कदम उठाता है। यह दुष्ट मानसिकता वाले अभिनेताओं को समझौता किए गए सिस्टम पर सीधा नियंत्रण हासिल करने में सक्षम बनाता है, जिससे उनमें हेरफेर करने और उनका शोषण करने की उनकी क्षमता बढ़ जाती है।
इस संदर्भ में, मैलवेयर द्वारा 'पोर्ट नॉकिंग' नामक तकनीक का उपयोग किया जाता है। इसमें रूटकिट एक संक्रमित सिस्टम पर एक विशिष्ट पोर्ट खोलना और स्टैंडबाय मोड में प्रतीक्षा करना शामिल है। खतरे वाले अभिनेताओं से एक विशिष्ट सिग्नल या 'मैजिक पैकेट' प्राप्त होने पर, समझौता किए गए सिस्टम और हमले के ऑपरेशन के कमांड-एंड-कंट्रोल (सी 2, सी एंड सी) सर्वर के बीच एक कनेक्शन स्थापित किया जा सकता है। रूटकिट एक खतरनाक सॉफ़्टवेयर का एक रूप है जिसे जानबूझकर मशीन तक उन्नत, रूट-स्तरीय पहुंच प्रदान करने के लिए डिज़ाइन किया गया है, साथ ही साथ इसकी उपस्थिति को भी अस्पष्ट किया गया है। विशेष रूप से, वर्ष 2022 से कम से कम चार अलग-अलग अभियानों में रेप्टाइल का उपयोग किया गया है।
कई हानिकारक अभियानों ने पहले से ही रेप्टाइल रूटकिट को नियोजित किया है
मई 2022 में, शोधकर्ताओं ने रेप्टाइल रूटकिट परिनियोजन के पहले उदाहरण का दस्तावेजीकरण किया, जिसका श्रेय अर्थ बर्बेरोका नामक एक घुसपैठ सेट को दिया गया, जिसे गैंबलिंगपपेट के रूप में भी मान्यता प्राप्त है। इस खोज के दौरान, यह पता चला कि रूटकिट का उपयोग क्रॉस-प्लेटफ़ॉर्म पायथन ट्रोजन से जुड़े कनेक्शन और प्रक्रियाओं को छिपाने के लिए किया गया था, जिसे पपी आरएटी के रूप में जाना जाता है। ये हमले मुख्य रूप से चीन में स्थित जुआ वेबसाइटों पर निर्देशित थे।
मार्च 2023 में, UNC3886 नामक एक संदिग्ध खतरा अभिनेता द्वारा हमलों की एक श्रृंखला आयोजित की गई थी, जो कथित तौर पर चीन से जुड़ा हुआ था। इन हमलों ने रेप्टाइल रूटकिट के साथ-साथ कस्टम-निर्मित प्रत्यारोपणों की एक श्रृंखला वितरित करने के लिए शून्य-दिन की कमजोरियों का फायदा उठाया।
उसी महीने के भीतर, रेप्टाइल से प्राप्त मेलोफ़ी नामक लिनक्स-आधारित मैलवेयर के उपयोग का श्रेय एक चीनी हैकिंग समूह को दिया गया। फिर, जून 2023 में, एक क्रिप्टोजैकिंग अभियान ने रेप्टाइल रूटकिट को वितरित करने के लिए शेल स्क्रिप्ट बैकडोर के साथ उपकरणों को संक्रमित कर दिया, जिससे इसके संचालन के हिस्से के रूप में इसकी चाइल्ड प्रक्रियाओं, फाइलों और उनकी सामग्री को प्रभावी ढंग से छुपाया गया।
रेप्टाइल रूटकिट धमकी देने वाली क्षमताओं के एक उन्नत सेट से सुसज्जित है
सरीसृप का बारीकी से विश्लेषण करने पर, एक विशिष्ट तंत्र उभर कर सामने आता है: एक लोडर घटक जो किमात्रियोश्का नामक उपकरण के साथ मिलकर काम करता है। यह लोडर रूटकिट के कर्नेल मॉड्यूल को डिक्रिप्ट करने और सिस्टम की मेमोरी में लोड करने के लिए जिम्मेदार है। इसके बाद, लोडर एक निर्दिष्ट पोर्ट को खोलने की पहल करता है, जिससे हमलावर टीसीपी, यूडीपी या आईसीएमपी जैसे संचार प्रोटोकॉल का उपयोग करके मेजबान को एक विशेष सिग्नल, जिसे मैजिक पैकेट कहा जाता है, भेजने के लिए तत्परता की स्थिति में प्रवेश करता है।
मैजिक पैकेट के भीतर समाहित डेटा में महत्वपूर्ण जानकारी होती है - C2 सर्वर का पता। इस जानकारी का उपयोग करके, C&C सर्वर से जुड़कर एक रिवर्स शेल स्थापित किया जाता है। मैजिक पैकेट के माध्यम से दुर्भावनापूर्ण गतिविधियों को ट्रिगर करने की इस तकनीक को पहले Syslogk नामक एक अन्य रूटकिट में नोट किया गया है। उसी क्रम में, दक्षिण कोरिया में रेप्टाइल रूटकिट से जुड़े एक समान हमले के परिदृश्य का पता चला था। हमले में मेलोफ़ी के साथ कई सामरिक समानताएँ प्रदर्शित हुईं।
संक्षेप में, रेप्टाइल एक लिनक्स कर्नेल मोड रूटकिट मैलवेयर के रूप में कार्य करता है जिसमें फ़ाइलों, निर्देशिकाओं, प्रक्रियाओं और नेटवर्क संचार को छिपाने का प्राथमिक कार्य होता है। फिर भी, यह एक विशिष्ट क्षमता भी प्रस्तुत करता है: एक रिवर्स शेल का प्रावधान। यह अतिरिक्त विशेषता रेप्टाइल रूटकिट को आश्रय देने वाले सिस्टम को संभावित रूप से खतरे वाले अभिनेताओं द्वारा अपहरण के प्रति संवेदनशील बनाती है।
