Rootkit dla gadów

Zaobserwowano, że cyberprzestępcy wykorzystywali rootkita typu open source o nazwie Reptile do kierowania ataków na systemy Linux w Korei Południowej. W przeciwieństwie do konwencjonalnego złośliwego oprogramowania typu rootkit, które koncentruje się przede wszystkim na ukrywaniu działań, Reptile robi dodatkowy krok, oferując funkcjonalność odwróconej powłoki. Umożliwia to złośliwym podmiotom uzyskanie bezpośredniej kontroli nad zaatakowanymi systemami, zwiększając w ten sposób ich zdolność do manipulowania nimi i wykorzystywania ich.

W tym kontekście złośliwe oprogramowanie wykorzystuje technikę zwaną „pukaniem do portów”. Wiąże się to z tym, że rootkit otwiera określony port w zainfekowanym systemie i czeka w trybie gotowości. Po otrzymaniu określonego sygnału lub „magicznego pakietu” od cyberprzestępców, może zostać nawiązane połączenie między zaatakowanym systemem a serwerem Command-and-Control (C2, C&C) operacji ataku. Rootkit to forma groźnego oprogramowania celowo zaprojektowanego w celu zapewnienia wyższego poziomu dostępu do maszyny przy jednoczesnym ukrywaniu jej obecności. Warto zauważyć, że Reptile był używany w co najmniej czterech różnych kampaniach od 2022 roku.

Kilka szkodliwych kampanii wykorzystało już Rootkita Reptile

W maju 2022 r. badacze udokumentowali pierwszy przypadek wdrożenia rootkita Reptile, przypisanego zestawowi włamań o nazwie Earth Berberoka, znanemu również jako GamblingPuppet. Podczas tego odkrycia ujawniono, że rootkit był wykorzystywany do maskowania połączeń i procesów powiązanych z wieloplatformowym trojanem Pythona, znanym jako Pupy RAT . Ataki te były skierowane głównie na witryny hazardowe znajdujące się w Chinach.

W marcu 2023 r. grupa ataków została zorganizowana przez podejrzanego aktora cyberprzestępczego znanego jako UNC3886, podobno powiązanego z Chinami. Ataki te wykorzystywały luki zero-day w celu dystrybucji szeregu niestandardowych implantów wraz z rootkitem Reptile.

W tym samym miesiącu chińskiej grupie hakerskiej przypisano wykorzystanie złośliwego oprogramowania opartego na Linuksie o nazwie Mélofée , pochodzącego z Reptile. Następnie, w czerwcu 2023 r., kampania cryptojackingu zainfekowała urządzenia backdoorem ze skryptem powłoki w celu dostarczenia Reptile Rootkit, skutecznie ukrywając procesy potomne, pliki i ich zawartość w ramach swoich operacji.

Rootkit Reptile jest wyposażony w zaawansowany zestaw groźnych możliwości

Po bliższej analizie Reptile wyłania się charakterystyczny mechanizm: element ładujący, który działa w tandemie z narzędziem zwanym kmatryoshka. Ten program ładujący jest odpowiedzialny za odszyfrowanie i załadowanie modułu jądra rootkita do pamięci systemu. Następnie moduł ładujący inicjuje otwarcie wyznaczonego portu, wprowadzając w stan gotowości atakującego do wysłania specjalnego sygnału, zwanego pakietem magicznym, do hosta za pomocą protokołów komunikacyjnych, takich jak TCP, UDP czy ICMP.

Dane zamknięte w magicznym pakiecie zawierają krytyczne informacje — adres serwera C2. Korzystając z tych informacji, ustanawiana jest odwrotna powłoka, łącząca się z serwerem C&C. Ta technika wywoływania złośliwych działań za pośrednictwem magicznych pakietów została wcześniej odnotowana w innym rootkicie o nazwie Syslogk. Podobny scenariusz ataku z udziałem rootkita Reptile wykryto w Korei Południowej. Atak wykazywał kilka taktycznych podobieństw do Mélofée.

Podsumowując, Reptile działa jako rootkit w trybie jądra Linuksa, którego podstawową funkcją jest ukrywanie plików, katalogów, procesów i komunikacji sieciowej. Niemniej jednak ma również charakterystyczną zdolność: zapewnienie odwróconej skorupy. Ta dodatkowa cecha sprawia, że systemy zawierające Reptile Rootkit są potencjalnie podatne na przejęcie przez cyberprzestępców.