សត្វល្មូន Rootkit
តួអង្គគំរាមកំហែងត្រូវបានគេសង្កេតឃើញប្រើប្រាស់កម្មវិធីឫសគល់បើកចំហរដែលមានឈ្មោះថា សត្វល្មូន ដើម្បីកំណត់គោលដៅប្រព័ន្ធលីនុចនៅក្នុងប្រទេសកូរ៉េខាងត្បូង។ មិនដូចមេរោគ rootkit ធម្មតាដែលផ្តោតជាចម្បងលើសកម្មភាពលាក់កំបាំង សត្វល្មូនចាត់វិធានការបន្ថែមដោយផ្តល់នូវមុខងារសែលបញ្ច្រាស។ នេះអនុញ្ញាតឱ្យតួអង្គដែលមានគំនិតអាក្រក់ទទួលបានការគ្រប់គ្រងដោយផ្ទាល់លើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល ដោយហេតុនេះពង្រីកសមត្ថភាពរបស់ពួកគេក្នុងការគ្រប់គ្រង និងកេងប្រវ័ញ្ចពួកគេ។
នៅក្នុងបរិបទនេះ បច្ចេកទេសមួយហៅថា 'port knocking' ត្រូវបានប្រើប្រាស់ដោយមេរោគ។ នេះពាក់ព័ន្ធនឹង rootkit បើកច្រកជាក់លាក់មួយនៅលើប្រព័ន្ធដែលមានមេរោគ ហើយរង់ចាំក្នុងរបៀបរង់ចាំ។ នៅពេលទទួលបានសញ្ញាជាក់លាក់ ឬ 'កញ្ចប់វេទមន្ត' ពីតួអង្គគំរាមកំហែង ការតភ្ជាប់អាចត្រូវបានបង្កើតឡើងរវាងប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល និងម៉ាស៊ីនមេ Command-and-Control (C2, C&C) នៃប្រតិបត្តិការវាយប្រហារ។ rootkit គឺជាទម្រង់នៃកម្មវិធីគំរាមកំហែងដែលត្រូវបានបង្កើតឡើងដោយចេតនាដើម្បីផ្តល់នូវការចូលប្រើកម្រិត root កម្រិតខ្ពស់ទៅកាន់ម៉ាស៊ីនមួយខណៈពេលដែលធ្វើឱ្យមានភាពច្របូកច្របល់វត្តមានរបស់វា។ គួរកត់សម្គាល់ថាសត្វល្មូនត្រូវបានប្រើប្រាស់នៅក្នុងយុទ្ធនាការយ៉ាងតិចបួនផ្សេងគ្នាចាប់តាំងពីឆ្នាំ 2022។
យុទ្ធនាការបង្កគ្រោះថ្នាក់ជាច្រើនបានប្រើប្រាស់ឧបករណ៍សត្វល្មូន Rootkit រួចហើយ
នៅខែឧសភា ឆ្នាំ 2022 អ្នកស្រាវជ្រាវបានចងក្រងឯកសារដំបូងនៃការដាក់ពង្រាយ rootkit សត្វល្មូន ដែលសន្មតថាជាសំណុំការឈ្លានពានដែលហៅថា Earth Berberoka ដែលត្រូវបានទទួលស្គាល់ថាជា GamblingPuppet ផងដែរ។ ក្នុងអំឡុងពេលនៃរបកគំហើញនេះ វាត្រូវបានគេបង្ហាញថា rootkit ត្រូវបានប្រើដើម្បីភ្ជាប់ cloak និងដំណើរការដែលភ្ជាប់ទៅនឹង cross-platform Python Trojan ដែលត្រូវបានគេស្គាល់ថា Pupy RAT ។ ការវាយប្រហារទាំងនេះត្រូវបានដឹកនាំជាចម្បងនៅលើគេហទំព័រល្បែងដែលមានទីតាំងនៅក្នុងប្រទេសចិន។
នៅខែមីនា ឆ្នាំ 2023 ការវាយប្រហារជាបន្តបន្ទាប់ត្រូវបានរៀបចំឡើងដោយតួអង្គគម្រាមកំហែងដែលត្រូវបានគេស្គាល់ថា UNC3886 ដែលត្រូវបានគេរាយការណ៍ថាមានទំនាក់ទំនងជាមួយប្រទេសចិន។ ការវាយប្រហារទាំងនេះផ្តោតសំខាន់លើភាពងាយរងគ្រោះសូន្យថ្ងៃ ដើម្បីចែកចាយអារេនៃការផ្សាំដែលផលិតតាមបំណង រួមជាមួយនឹង rootkit សត្វល្មូន។
ក្នុងរយៈពេលមួយខែដូចគ្នា ការប្រើប្រាស់មេរោគដែលមានមូលដ្ឋានលើលីនុចដែលមានឈ្មោះថា Mélofée ដែលបានមកពីសត្វល្មូន ត្រូវបានសន្មតថាជាក្រុមលួចចូលរបស់ចិន។ បន្ទាប់មកនៅក្នុងខែមិថុនា ឆ្នាំ 2023 យុទ្ធនាការ cryptojacking បានឆ្លងឧបករណ៍ដែលមានស្គ្រីបខាងក្រោយដើម្បីចែកចាយ Reptile Rootkit ដោយមានប្រសិទ្ធភាពលាក់បាំងដំណើរការកូន ឯកសារ និងខ្លឹមសាររបស់ពួកគេជាផ្នែកនៃប្រតិបត្តិការរបស់វា។
សត្វល្មូន Rootkit ត្រូវបានបំពាក់ដោយសំណុំកម្រិតខ្ពស់នៃសមត្ថភាពគំរាមកំហែង
នៅពេលការវិភាគកាន់តែជិតនៃសត្វល្មូន យន្តការប្លែកមួយបានលេចចេញជារូបរាងឡើង៖ សមាសធាតុឧបករណ៍ផ្ទុកដែលដំណើរការស្របគ្នាជាមួយនឹងឧបករណ៍ដែលមានឈ្មោះថា kmatryoshka ។ កម្មវិធីផ្ទុកនេះទទួលខុសត្រូវចំពោះការឌិគ្រីប និងផ្ទុកម៉ូឌុលខឺណែលរបស់ rootkit ទៅក្នុងអង្គចងចាំរបស់ប្រព័ន្ធ។ ក្រោយមក កម្មវិធីផ្ទុកទិន្នន័យចាប់ផ្តើមបើកច្រកដែលបានកំណត់ ដោយបញ្ចូលស្ថានភាពនៃការត្រៀមខ្លួនសម្រាប់អ្នកវាយប្រហារដើម្បីបញ្ជូនសញ្ញាពិសេស ហៅថា កញ្ចប់វេទមន្ត ទៅកាន់ម៉ាស៊ីនដោយប្រើពិធីការទំនាក់ទំនងដូចជា TCP UDP ឬ ICMP ។
ទិន្នន័យដែលដាក់ក្នុងកញ្ចប់វេទមន្តមានព័ត៌មានសំខាន់—អាសយដ្ឋានរបស់ម៉ាស៊ីនមេ C2 ។ ការប្រើប្រាស់ព័ត៌មាននេះ សែលបញ្ច្រាសត្រូវបានបង្កើតឡើង ដោយភ្ជាប់ទៅម៉ាស៊ីនមេ C&C ។ បច្ចេកទេសនៃការបង្កើតសកម្មភាពព្យាបាទតាមរយៈកញ្ចប់វេទមន្តត្រូវបានកត់សម្គាល់ពីមុននៅក្នុង rootkit មួយផ្សេងទៀតដែលមានឈ្មោះថា Syslogk ។ ដូចគ្នាដែរ សេណារីយ៉ូនៃការវាយប្រហារស្រដៀងគ្នានេះ ដែលពាក់ព័ន្ធនឹងសត្វល្មូន rootkit ត្រូវបានរកឃើញនៅក្នុងប្រទេសកូរ៉េខាងត្បូង។ ការវាយប្រហារនេះបានបង្ហាញពីយុទ្ធសាស្ត្រជាច្រើនស្រដៀងនឹងMélofée។
សរុបមក សត្វល្មូនមានមុខងារជាមេរោគ Linux kernel mode rootkit ដែលមានមុខងារចម្បងនៃការលាក់ឯកសារ ថតឯកសារ ដំណើរការ និងទំនាក់ទំនងបណ្តាញ។ យ៉ាងណាក៏ដោយ វាក៏បង្ហាញពីសមត្ថភាពប្លែកមួយដែរ៖ ការផ្តល់នូវសំបកបញ្ច្រាស។ លក្ខណៈបន្ថែមនេះបង្ហាញប្រព័ន្ធដែលផ្ទុកសត្វល្មូន Rootkit ដែលអាចងាយរងគ្រោះក្នុងការប្លន់ដោយអ្នកគំរាមកំហែង។
