ਰੀਪਟਾਈਲ ਰੂਟਕਿਟ
ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰ ਦੱਖਣੀ ਕੋਰੀਆ ਵਿੱਚ ਲੀਨਕਸ ਸਿਸਟਮ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਰੀਪਟਾਈਲ ਨਾਮਕ ਇੱਕ ਓਪਨ-ਸੋਰਸ ਰੂਟਕਿੱਟ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਦੇਖੇ ਗਏ ਹਨ। ਰਵਾਇਤੀ ਰੂਟਕਿਟ ਮਾਲਵੇਅਰ ਦੇ ਉਲਟ ਜੋ ਮੁੱਖ ਤੌਰ 'ਤੇ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਲੁਕਾਉਣ 'ਤੇ ਕੇਂਦ੍ਰਤ ਕਰਦਾ ਹੈ, ਰੀਪਟਾਈਲ ਇੱਕ ਉਲਟ ਸ਼ੈੱਲ ਕਾਰਜਸ਼ੀਲਤਾ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰਕੇ ਇੱਕ ਵਾਧੂ ਕਦਮ ਚੁੱਕਦਾ ਹੈ। ਇਹ ਬੁਰਾਈ ਸੋਚ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ 'ਤੇ ਸਿੱਧਾ ਨਿਯੰਤਰਣ ਹਾਸਲ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ, ਇਸ ਤਰ੍ਹਾਂ ਉਹਨਾਂ ਨੂੰ ਹੇਰਾਫੇਰੀ ਕਰਨ ਅਤੇ ਉਨ੍ਹਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਨੂੰ ਵਧਾਉਂਦਾ ਹੈ।
ਇਸ ਸੰਦਰਭ ਵਿੱਚ, ਮਾਲਵੇਅਰ ਦੁਆਰਾ 'ਪੋਰਟ ਨੌਕਿੰਗ' ਨਾਮਕ ਇੱਕ ਤਕਨੀਕ ਵਰਤੀ ਜਾਂਦੀ ਹੈ। ਇਸ ਵਿੱਚ ਰੂਟਕਿਟ ਦਾ ਇੱਕ ਸੰਕਰਮਿਤ ਸਿਸਟਮ ਤੇ ਇੱਕ ਖਾਸ ਪੋਰਟ ਖੋਲ੍ਹਣਾ ਅਤੇ ਸਟੈਂਡਬਾਏ ਮੋਡ ਵਿੱਚ ਉਡੀਕ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ। ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰਾਂ ਤੋਂ ਇੱਕ ਖਾਸ ਸਿਗਨਲ ਜਾਂ 'ਮੈਜਿਕ ਪੈਕੇਟ' ਪ੍ਰਾਪਤ ਕਰਨ 'ਤੇ, ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ ਅਤੇ ਹਮਲੇ ਦੀ ਕਾਰਵਾਈ ਦੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2, C&C) ਸਰਵਰ ਵਿਚਕਾਰ ਇੱਕ ਕੁਨੈਕਸ਼ਨ ਸਥਾਪਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ। ਇੱਕ ਰੂਟਕਿਟ ਇੱਕ ਡਰਾਉਣੇ ਸੌਫਟਵੇਅਰ ਦਾ ਇੱਕ ਰੂਪ ਹੈ ਜੋ ਜਾਣਬੁੱਝ ਕੇ ਇੱਕ ਮਸ਼ੀਨ ਤੱਕ ਉੱਚੀ, ਰੂਟ-ਪੱਧਰ ਦੀ ਪਹੁੰਚ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ ਜਦੋਂ ਕਿ ਨਾਲੋ ਨਾਲ ਇਸਦੀ ਮੌਜੂਦਗੀ ਨੂੰ ਅਸਪਸ਼ਟ ਕਰਦਾ ਹੈ। ਖਾਸ ਤੌਰ 'ਤੇ, ਸਾਲ 2022 ਤੋਂ ਘੱਟੋ-ਘੱਟ ਚਾਰ ਵੱਖ-ਵੱਖ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਰੇਪਟਾਈਲ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਗਈ ਹੈ।
ਕਈ ਹਾਨੀਕਾਰਕ ਮੁਹਿੰਮਾਂ ਨੇ ਪਹਿਲਾਂ ਹੀ ਰੀਪਟਾਈਲ ਰੂਟਕਿਟ ਨੂੰ ਨਿਯੁਕਤ ਕੀਤਾ ਹੈ
ਮਈ 2022 ਵਿੱਚ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਰੀਪਟਾਈਲ ਰੂਟਕਿਟ ਤੈਨਾਤੀ ਦੀ ਪਹਿਲੀ ਘਟਨਾ ਦਾ ਦਸਤਾਵੇਜ਼ੀਕਰਨ ਕੀਤਾ, ਜਿਸਦਾ ਕਾਰਨ ਅਰਥ ਬਰਬੇਰੋਕਾ ਨਾਮਕ ਇੱਕ ਘੁਸਪੈਠ ਸੈੱਟ ਹੈ, ਜਿਸਨੂੰ ਗੈਂਬਲਿੰਗਪੱਪੇਟ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਇਸ ਖੋਜ ਦੇ ਦੌਰਾਨ, ਇਹ ਖੁਲਾਸਾ ਹੋਇਆ ਸੀ ਕਿ ਰੂਟਕਿੱਟ ਦੀ ਵਰਤੋਂ ਇੱਕ ਕਰਾਸ-ਪਲੇਟਫਾਰਮ ਪਾਈਥਨ ਟਰੋਜਨ ਨਾਲ ਜੁੜੇ ਕਨੈਕਸ਼ਨਾਂ ਅਤੇ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਬੰਦ ਕਰਨ ਲਈ ਕੀਤੀ ਗਈ ਸੀ, ਜਿਸਨੂੰ ਪਪੀ ਆਰਏਟੀ ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ। ਇਹ ਹਮਲੇ ਮੁੱਖ ਤੌਰ 'ਤੇ ਚੀਨ ਵਿੱਚ ਸਥਿਤ ਜੂਏ ਦੀਆਂ ਵੈੱਬਸਾਈਟਾਂ 'ਤੇ ਕੀਤੇ ਗਏ ਸਨ।
ਮਾਰਚ 2023 ਵਿੱਚ, UNC3886 ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਸ਼ੱਕੀ ਧਮਕੀ ਅਦਾਕਾਰ ਦੁਆਰਾ ਹਮਲਿਆਂ ਦੀ ਇੱਕ ਲੜੀ ਦਾ ਆਯੋਜਨ ਕੀਤਾ ਗਿਆ ਸੀ, ਜੋ ਕਥਿਤ ਤੌਰ 'ਤੇ ਚੀਨ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਸੀ। ਇਹਨਾਂ ਹਮਲਿਆਂ ਨੇ ਰੀਪਟਾਈਲ ਰੂਟਕਿੱਟ ਦੇ ਨਾਲ-ਨਾਲ ਕਸਟਮ-ਮੇਡ ਇਮਪਲਾਂਟ ਦੀ ਇੱਕ ਲੜੀ ਨੂੰ ਵੰਡਣ ਲਈ ਜ਼ੀਰੋ-ਦਿਨ ਦੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਪੂੰਜੀ ਬਣਾਇਆ।
ਉਸੇ ਮਹੀਨੇ ਦੇ ਅੰਦਰ, ਰੀਪਟਾਈਲ ਤੋਂ ਲਿਆ ਗਿਆ ਮੇਲੋਫੀ ਨਾਮਕ ਇੱਕ ਲੀਨਕਸ-ਆਧਾਰਿਤ ਮਾਲਵੇਅਰ ਦੀ ਵਰਤੋਂ ਚੀਨੀ ਹੈਕਿੰਗ ਸਮੂਹ ਦੁਆਰਾ ਕੀਤੀ ਗਈ ਸੀ। ਫਿਰ, ਜੂਨ 2023 ਵਿੱਚ, ਇੱਕ ਕ੍ਰਿਪਟੋਜੈਕਿੰਗ ਮੁਹਿੰਮ ਨੇ ਰੀਪਟਾਈਲ ਰੂਟਕਿਟ ਨੂੰ ਡਿਲੀਵਰ ਕਰਨ ਲਈ ਸ਼ੈੱਲ ਸਕ੍ਰਿਪਟ ਬੈਕਡੋਰ ਨਾਲ ਡਿਵਾਈਸਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਕੀਤਾ, ਇਸਦੇ ਕਾਰਜਾਂ ਦੇ ਹਿੱਸੇ ਵਜੋਂ ਇਸਦੀਆਂ ਬਾਲ ਪ੍ਰਕਿਰਿਆਵਾਂ, ਫਾਈਲਾਂ ਅਤੇ ਉਹਨਾਂ ਦੀ ਸਮੱਗਰੀ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਛੁਪਾਇਆ।
ਰੀਪਟਾਈਲ ਰੂਟਕਿਟ ਧਮਕੀ ਦੇਣ ਵਾਲੀਆਂ ਸਮਰੱਥਾਵਾਂ ਦੇ ਇੱਕ ਉੱਨਤ ਸੈੱਟ ਨਾਲ ਲੈਸ ਹੈ
ਰੀਪਟਾਈਲ ਦੇ ਨਜ਼ਦੀਕੀ ਵਿਸ਼ਲੇਸ਼ਣ 'ਤੇ, ਇੱਕ ਵਿਲੱਖਣ ਵਿਧੀ ਉੱਭਰਦੀ ਹੈ: ਇੱਕ ਲੋਡਰ ਕੰਪੋਨੈਂਟ ਜੋ ਕਿਮੈਟਰੀਓਸ਼ਕਾ ਨਾਮਕ ਇੱਕ ਟੂਲ ਨਾਲ ਮਿਲ ਕੇ ਕੰਮ ਕਰਦਾ ਹੈ। ਇਹ ਲੋਡਰ ਸਿਸਟਮ ਦੀ ਮੈਮੋਰੀ ਵਿੱਚ ਰੂਟਕਿਟ ਦੇ ਕਰਨਲ ਮੋਡੀਊਲ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰਨ ਅਤੇ ਲੋਡ ਕਰਨ ਲਈ ਜਵਾਬਦੇਹ ਹੈ। ਇਸ ਤੋਂ ਬਾਅਦ, ਲੋਡਰ ਇੱਕ ਮਨੋਨੀਤ ਪੋਰਟ ਨੂੰ ਖੋਲ੍ਹਣ ਦੀ ਸ਼ੁਰੂਆਤ ਕਰਦਾ ਹੈ, ਇੱਕ ਹਮਲਾਵਰ ਲਈ TCP, UDP ਜਾਂ ICMP ਵਰਗੇ ਸੰਚਾਰ ਪ੍ਰੋਟੋਕੋਲ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਮੇਜ਼ਬਾਨ ਨੂੰ ਇੱਕ ਵਿਸ਼ੇਸ਼ ਸਿਗਨਲ, ਜਿਸਨੂੰ ਇੱਕ ਮੈਜਿਕ ਪੈਕੇਟ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਭੇਜਣ ਲਈ ਤਿਆਰੀ ਦੀ ਸਥਿਤੀ ਵਿੱਚ ਦਾਖਲ ਹੁੰਦਾ ਹੈ।
ਮੈਜਿਕ ਪੈਕੇਟ ਦੇ ਅੰਦਰ ਸ਼ਾਮਲ ਕੀਤੇ ਗਏ ਡੇਟਾ ਵਿੱਚ ਮਹੱਤਵਪੂਰਣ ਜਾਣਕਾਰੀ ਹੁੰਦੀ ਹੈ - C2 ਸਰਵਰ ਦਾ ਪਤਾ। ਇਸ ਜਾਣਕਾਰੀ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, ਇੱਕ ਰਿਵਰਸ ਸ਼ੈੱਲ ਸਥਾਪਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, C&C ਸਰਵਰ ਨਾਲ ਜੁੜਦਾ ਹੈ। ਮੈਜਿਕ ਪੈਕੇਟਾਂ ਰਾਹੀਂ ਖਤਰਨਾਕ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਚਾਲੂ ਕਰਨ ਦੀ ਇਹ ਤਕਨੀਕ ਪਹਿਲਾਂ ਸਿਸਲੋਗ ਨਾਮਕ ਇੱਕ ਹੋਰ ਰੂਟਕਿਟ ਵਿੱਚ ਨੋਟ ਕੀਤੀ ਗਈ ਹੈ। ਇਸੇ ਨਾੜੀ ਵਿੱਚ, ਦੱਖਣੀ ਕੋਰੀਆ ਵਿੱਚ ਰੀਪਟਾਈਲ ਰੂਟਕਿਟ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਵਾਲੇ ਇੱਕ ਸਮਾਨ ਹਮਲੇ ਦੀ ਸਥਿਤੀ ਦਾ ਪਤਾ ਲਗਾਇਆ ਗਿਆ ਸੀ। ਹਮਲੇ ਨੇ ਮੇਲੋਫੀ ਨਾਲ ਕਈ ਰਣਨੀਤਕ ਸਮਾਨਤਾਵਾਂ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕੀਤਾ।
ਸੰਖੇਪ ਵਿੱਚ, ਰੀਪਟਾਈਲ ਇੱਕ ਲੀਨਕਸ ਕਰਨਲ ਮੋਡ ਰੂਟਕਿਟ ਮਾਲਵੇਅਰ ਦੇ ਰੂਪ ਵਿੱਚ ਫਾਈਲਾਂ, ਡਾਇਰੈਕਟਰੀਆਂ, ਪ੍ਰਕਿਰਿਆਵਾਂ, ਅਤੇ ਨੈਟਵਰਕ ਸੰਚਾਰਾਂ ਨੂੰ ਛੁਪਾਉਣ ਦੇ ਪ੍ਰਾਇਮਰੀ ਫੰਕਸ਼ਨ ਦੇ ਨਾਲ ਕੰਮ ਕਰਦਾ ਹੈ। ਫਿਰ ਵੀ, ਇਹ ਇੱਕ ਵਿਲੱਖਣ ਸਮਰੱਥਾ ਵੀ ਪੇਸ਼ ਕਰਦਾ ਹੈ: ਇੱਕ ਉਲਟ ਸ਼ੈੱਲ ਦੀ ਵਿਵਸਥਾ। ਇਹ ਵਾਧੂ ਗੁਣ ਰੇਪਟਾਈਲ ਰੂਟਕਿਟ ਨੂੰ ਪਨਾਹ ਦੇਣ ਵਾਲੇ ਸਿਸਟਮਾਂ ਨੂੰ ਪੇਸ਼ ਕਰਦਾ ਹੈ ਜੋ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਦੁਆਰਾ ਹਾਈਜੈਕਿੰਗ ਲਈ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਕਮਜ਼ੋਰ ਹੈ।
