Fire Chili Rootkit

Zlobna kitajska skupina APT (Advanced Persistent Threat) Deep Panda je bila ujeta pri uporabi novega, grozečega dodatka svojemu arzenalu. Zlonamerna programska oprema, imenovana Fire Chili, spada v kategorijo rootkitov in je namenjena okužbi sistemov Windows. Glede na poročilo, ki so ga objavili analitiki za kibernetsko varnost, je ta rootkit dostavljen na strežnike VMware Horizon prek izkoriščanja Log4Shell in lahko vpliva na različice sistema Windows do posodobitve Windows 10 Creators Update, ki je bila izdana aprila 2017.

Rootkiti so izjemno nevarne vrste zlonamerne programske opreme, saj se lahko zakopljejo globoko v ogrožene sisteme in izvajajo vsiljiva dejanja na najnižji ravni ter tako zaobidejo številne varnostne preglede in ukrepe proti zlonamerni programski opremi. Da bi preprečili, da bi ga protivirusna orodja med prvo okužbo zaznala, je Fire Chili opremljen z veljavnimi digitalnimi potrdili, ki pripadajo Frotburn Studios (podjetje za razvijalce iger) ali Comodo (razvijalec varnostne programske opreme). Raziskovalci menijo, da so bila potrdila odvzeta od njihovih nameravanih lastnikov.

Ko se začne, Fire Chili izvede vrsto osnovnih sistemskih testov, da bi odkril znake virtualizacije ali okolja peskovnika. Grožnja tudi zagotavlja, da so ciljne strukture in objekti jedra prisotni v sistemu. Glavni cilj zlonamerne programske opreme je, da ostane skrita druga vsiljiva dejanja hekerjev. Fire Chili lahko prikrije datotečne operacije, procese, dodatke v sistem registra in nelegitimne omrežne povezave, da jih uporabniki ali orodja varnostne programske opreme ne opazijo. To arhivira z uporabo IOCTL-jev (vhodno/izhodni nadzorni sistemski klici), ki prenašajo poškodovane artefakte, ki jih lahko dinamično konfigurirajo akterji grožnje.