Reptile Rootkit

Ir novēroti draudu dalībnieki, kas izmanto atvērtā pirmkoda sakņu komplektu ar nosaukumu Reptile, lai mērķētu uz Linux sistēmām Dienvidkorejā. Atšķirībā no parastās rootkit ļaunprātīgas programmatūras, kas galvenokārt koncentrējas uz darbību slēpšanu, Reptile veic papildu soli, piedāvājot apgrieztā apvalka funkcionalitāti. Tas ļauj ļaundabīgiem dalībniekiem iegūt tiešu kontroli pār kompromitētām sistēmām, tādējādi pastiprinot viņu spēju ar tām manipulēt un izmantot.

Šajā kontekstā ļaunprogrammatūra izmanto paņēmienu, ko sauc par “portu klauvējienu”. Tas nozīmē, ka saknes komplekts atver noteiktu portu inficētajā sistēmā un gaida gaidīšanas režīmā. Saņemot konkrētu signālu vai “maģisko paketi” no apdraudējuma dalībniekiem, var izveidot savienojumu starp apdraudēto sistēmu un uzbrukuma operācijas komandu un kontroles (C2, C&C) serveri. Rootkit ir apdraudošas programmatūras veids, kas apzināti izstrādāts, lai nodrošinātu paaugstinātu saknes līmeņa piekļuvi iekārtai, vienlaikus aptumšojot tās klātbūtni. Proti, kopš 2022. gada Reptile ir izmantots vismaz četrās dažādās kampaņās.

Rāpuļu sakņu komplekts jau ir izmantots vairākās kaitīgās kampaņās

2022. gada maijā pētnieki dokumentēja pirmo reptile rootkit izvietošanas gadījumu, kas tika attiecināts uz ielaušanās kopu ar nosaukumu Earth Berberoka, kas tika atzīta arī par GamblingPuppet. Šī atklājuma laikā tika atklāts, ka sakņu komplekts tika izmantots, lai maskētu savienojumus un procesus, kas saistīti ar starpplatformu Python Trojas zirgu, kas pazīstams kā Pupy RAT . Šie uzbrukumi galvenokārt bija vērsti pret azartspēļu vietnēm, kas atrodas Ķīnā.

2023. gada martā virkni uzbrukumu organizēja aizdomās turētais draudu aktieris, kas pazīstams kā UNC3886 un, kā ziņots, ir saistīts ar Ķīnu. Šajos uzbrukumos tika izmantotas nulles dienas ievainojamības, lai kopā ar Reptile saknes komplektu izplatītu virkni pēc pasūtījuma izgatavotu implantu.

Tajā pašā mēnesī uz Linux balstītas ļaunprogrammatūras Mélofée , kas iegūta no Reptile, izmantošana tika attiecināta uz ķīniešu hakeru grupu. Pēc tam 2023. gada jūnijā šifrēšanas kampaņa inficēja ierīces ar čaulas skripta aizmugures durvīm, lai piegādātu Reptile Rootkit, efektīvi noslēpjot tās pakārtotos procesus, failus un to saturu kā daļu no savām darbībām.

Rāpuļu sakņu komplekts ir aprīkots ar uzlabotu apdraudējuma iespēju komplektu

Rūpīgāk analizējot Reptile, parādās īpašs mehānisms: iekrāvēja komponents, kas darbojas kopā ar rīku, ko sauc par kmatryoshka. Šis ielādētājs ir atbildīgs par rootkit kodola moduļa atšifrēšanu un ielādi sistēmas atmiņā. Pēc tam ielādētājs sāk norādītā porta atvēršanu, pārejot uzbrucēja gatavības stāvoklī, lai resursdatoram nosūtītu īpašu signālu, ko dēvē par burvju paketi, izmantojot sakaru protokolus, piemēram, TCP, UDP vai ICMP.

Dati, kas iekapsulēti burvju paketē, satur svarīgu informāciju — C2 servera adresi. Izmantojot šo informāciju, tiek izveidots apgrieztais apvalks, kas savienojas ar C&C serveri. Šis paņēmiens ļaunprātīgu darbību aktivizēšanai, izmantojot burvju paketes, iepriekš tika atzīmēts citā rootkit ar nosaukumu Syslogk. Tādā pašā veidā Dienvidkorejā tika atklāts līdzīgs uzbrukuma scenārijs, kas saistīts ar Reptile rootkit. Uzbrukumā bija vairākas taktiskas līdzības ar Melofē.

Rezumējot, Reptile darbojas kā Linux kodola režīma rootkit ļaunprātīga programmatūra, kuras galvenā funkcija ir slēpt failus, direktorijus, procesus un tīkla sakarus. Neskatoties uz to, tam ir arī atšķirīga spēja: reversa apvalka nodrošināšana. Šī papildu iezīme padara sistēmas, kas satur Reptile Rootkit, potenciāli neaizsargātas pret apdraudējuma dalībnieku veikto nolaupīšanu.