Roplių šaknų rinkinys

Buvo pastebėta, kad grėsmės veikėjai naudoja atvirojo kodo rootkit, pavadintą Reptile, skirtą Linux sistemoms Pietų Korėjoje. Skirtingai nuo įprastų „rootkit“ kenkėjiškų programų, kurios daugiausia dėmesio skiria veiklos slėpimui, „Reptile“ imasi papildomo žingsnio pasiūlydama atvirkštinio apvalkalo funkciją. Tai leidžia piktadariams veikėjams įgyti tiesioginę pažeistų sistemų kontrolę ir taip sustiprinti jų gebėjimą jomis manipuliuoti ir išnaudoti.

Šiame kontekste kenkėjiška programa naudoja techniką, vadinamą „port knocking“. Tai reiškia, kad rootkit atidaro konkretų užkrėstos sistemos prievadą ir laukia budėjimo režimu. Gavus konkretų signalą arba „stebuklingą paketą“ iš grėsmės veikėjų, galima užmegzti ryšį tarp pažeistos sistemos ir atakos operacijos komandų ir valdymo (C2, C&C) serverio. „Rootkit“ yra grėsmę keliančios programinės įrangos forma, sąmoningai sukurta taip, kad suteiktų aukštesnę, šakninio lygio prieigą prie įrenginio, tuo pat metu užtemdant jos buvimą. Pažymėtina, kad nuo 2022 metų „Reptile“ buvo naudojamas mažiausiai keturiose skirtingose kampanijose.

Roplių šaknų rinkinys jau naudojamas keliose žalingose kampanijose

2022 m. gegužę mokslininkai užfiksavo pirmąjį „Reptile“ rootkit diegimo atvejį, susijusį su įsibrovimų rinkiniu, pavadintu „Earth Berberoka“, taip pat pripažintam „GamblingPuppet“. Šio atradimo metu buvo atskleista, kad rootkit buvo naudojamas jungtims ir procesams, susietiems su kelių platformų Python Trojos arkliu, žinomu kaip Pupy RAT , užmaskuoti. Šios atakos pirmiausia buvo nukreiptos į Kinijoje esančias lošimų svetaines.

2023 m. kovo mėn. seriją išpuolių surengė įtariamas grėsmės veikėjas, žinomas kaip UNC3886, kuris, kaip pranešama, susijęs su Kinija. Šiose atakose buvo pasinaudota nulinės dienos pažeidžiamumu, siekiant platinti daugybę pagal užsakymą pagamintų implantų kartu su Roptile rootkit.

Tą patį mėnesį „Linux“ pagrindu veikiančios kenkėjiškos programos, pavadintos Mélofée , gautos iš Reptile, naudojimas buvo priskirtas Kinijos įsilaužėlių grupei. Tada, 2023 m. birželio mėn., šifravimo kampanija užkrėtė įrenginius su apvalkalo scenarijaus užpakalinėmis durimis, kad būtų galima pristatyti „Reptile Rootkit“, veiksmingai slepiant antrinius procesus, failus ir jų turinį kaip savo operacijų dalį.

„Reptile Rootkit“ yra aprūpintas pažangiomis grėsmę keliančiomis galimybėmis

Atidžiau išanalizavus Reptile, išryškėja savitas mechanizmas: krautuvo komponentas, veikiantis kartu su įrankiu, vadinamu kmatryoshka. Šis įkroviklis yra atsakingas už rootkit branduolio modulio iššifravimą ir įkėlimą į sistemos atmintį. Vėliau įkroviklis inicijuoja paskirtojo prievado atidarymą, pradėdamas užpuoliko pasirengimą nusiųsti specialų signalą, vadinamą magišku paketu, pagrindiniam kompiuteriui naudodamas ryšio protokolus, tokius kaip TCP, UDP arba ICMP.

Magiškajame pakete esančiuose duomenyse yra svarbi informacija – C2 serverio adresas. Naudojant šią informaciją, sukuriamas atvirkštinis apvalkalas, jungiantis prie C&C serverio. Ši kenkėjiškos veiklos suaktyvinimo naudojant stebuklingus paketus technika anksčiau buvo pažymėta kitame rootkit, pavadintame Syslogk. Taip pat Pietų Korėjoje buvo aptiktas panašus atakos scenarijus, susijęs su Roptile rootkit. Išpuolis parodė keletą taktinių panašumų su Mélofée.

Apibendrinant galima pasakyti, kad „Reptile“ veikia kaip „Linux“ branduolio režimo „rootkit“ kenkėjiška programa, kurios pagrindinė funkcija yra slėpti failus, katalogus, procesus ir tinklo ryšius. Nepaisant to, jis taip pat turi išskirtinę galimybę: suteikia atvirkštinį apvalkalą. Dėl šios papildomos savybės sistemos, kuriose yra roplių šaknų rinkinys, gali būti pažeidžiamos grėsmės veikėjų užgrobimui.