Reptile Rootkit

Primijećeno je da akteri prijetnji koriste open-source rootkit pod nazivom Reptile za ciljanje Linux sustava u Južnoj Koreji. Za razliku od konvencionalnog rootkit zlonamjernog softvera koji se prvenstveno fokusira na prikrivanje aktivnosti, Reptile poduzima dodatni korak nudeći funkciju obrnute ljuske. To omogućuje zlonamjernim akterima da steknu izravnu kontrolu nad kompromitiranim sustavima, čime se pojačava njihova sposobnost da njima manipuliraju i iskorištavaju ih.

U tom kontekstu, zlonamjerni softver koristi tehniku koja se zove 'lukanje porta'. To uključuje rootkit koji otvara određeni priključak na zaraženom sustavu i čeka u stanju pripravnosti. Po primitku određenog signala ili 'čarobnog paketa' od aktera prijetnje, može se uspostaviti veza između kompromitiranog sustava i Command-and-Control (C2, C&C) poslužitelja operacije napada. Rootkit je oblik prijetećeg softvera koji je namjerno osmišljen za pružanje povišenog pristupa na razini roota stroju dok istovremeno prikriva njegovu prisutnost. Naime, Reptile je korišten u najmanje četiri različite kampanje od 2022.

Nekoliko štetnih kampanja već je upotrijebilo Reptile Rootkit

U svibnju 2022. istraživači su dokumentirali prvu instancu implementacije Reptile rootkita, koja se pripisuje skupu upada pod nazivom Earth Berberoka, također prepoznatom kao GamblingPuppet. Tijekom ovog otkrića otkriveno je da je rootkit korišten za prikrivanje veza i procesa povezanih s višeplatformskim Python trojancem, poznatim kao Pupy RAT . Ovi napadi prvenstveno su bili usmjereni na web stranice za kockanje u Kini.

U ožujku 2023. seriju napada orkestrirao je osumnjičeni akter prijetnje poznat kao UNC3886, navodno povezan s Kinom. Ovi napadi iskoristili su ranjivosti nultog dana za distribuciju niza prilagođenih implantata, uz Reptile rootkit.

Unutar istog mjeseca, korištenje zlonamjernog softvera temeljenog na Linuxu pod nazivom Mélofée , izvedenog iz Reptile, pripisano je kineskoj hakerskoj skupini. Zatim, u lipnju 2023., kampanja kriptojackinga zarazila je uređaje backdoorom skripte ljuske za isporuku Reptile Rootkita, učinkovito skrivajući svoje podređene procese, datoteke i njihov sadržaj kao dio svojih operacija.

Reptile Rootkit opremljen je naprednim skupom prijetećih mogućnosti

Nakon detaljnije analize Reptila, pojavljuje se poseban mehanizam: komponenta punjača koja radi u tandemu s alatom nazvanim kmatryoshka. Ovaj punjač odgovoran je za dešifriranje i učitavanje modula kernela rootkita u memoriju sustava. Nakon toga, učitavač inicira otvaranje određenog porta, ulazeći u stanje pripravnosti za napadača da pošalje poseban signal, koji se naziva čarobni paket, glavnom računalu koristeći komunikacijske protokole kao što su TCP, UDP ili ICMP.

Podaci inkapsulirani unutar čarobnog paketa sadrže kritične informacije—adresu C2 poslužitelja. Koristeći ove informacije, uspostavlja se reverzna ljuska koja se povezuje s C&C poslužiteljem. Ova tehnika pokretanja zlonamjernih aktivnosti putem čarobnih paketa već je zabilježena u drugom rootkitu pod nazivom Syslogk. U istom smislu, sličan scenarij napada koji uključuje Reptile rootkit otkriven je u Južnoj Koreji. Napad je pokazao nekoliko taktičkih sličnosti s Mélofée.

Ukratko, Reptile funkcionira kao rootkit zlonamjerni softver u načinu jezgre Linuxa s primarnom funkcijom prikrivanja datoteka, direktorija, procesa i mrežne komunikacije. Unatoč tome, također predstavlja posebnu sposobnost: pružanje obrnute školjke. Ova dodatna osobina čini sustave koji sadrže Reptile Rootkit potencijalno ranjivim na otmicu od strane prijetnji.