Reptile Rootkit

Opazili so akterje groženj, ki uporabljajo odprtokodni rootkit z imenom Reptile za ciljanje sistemov Linux v Južni Koreji. Za razliko od običajne zlonamerne programske opreme rootkit, ki se osredotoča predvsem na prikrivanje dejavnosti, Reptile naredi dodaten korak s ponudbo funkcije obratne lupine. To omogoča zlobnim akterjem, da pridobijo neposreden nadzor nad ogroženimi sistemi, s čimer se poveča njihova sposobnost manipulacije in izkoriščanja z njimi.

V tem kontekstu zlonamerna programska oprema uporablja tehniko, imenovano "port knocking". To vključuje rootkit, ki odpre določena vrata na okuženem sistemu in čaka v stanju pripravljenosti. Po prejemu določenega signala ali 'čarobnega paketa' od akterjev grožnje se lahko vzpostavi povezava med ogroženim sistemom in strežnikom za upravljanje in nadzor (C2, C&C) operacije napada. Rootkit je oblika nevarne programske opreme, ki je namenoma zasnovana za zagotavljanje povišanega dostopa na korenski ravni do stroja, hkrati pa zakriva njegovo prisotnost. Predvsem je bil Reptile od leta 2022 uporabljen v vsaj štirih različnih kampanjah.

Več škodljivih kampanj je že uporabilo Reptile Rootkit

Maja 2022 so raziskovalci dokumentirali prvi primer uvedbe rootkita Reptile, ki je bil pripisan naboru vdorov, imenovanem Earth Berberoka, prepoznan tudi kot GamblingPuppet. Med tem odkritjem je bilo razkrito, da je bil rootkit uporabljen za prikrivanje povezav in procesov, povezanih s trojancem Python na več platformah, znanim kot Pupy RAT . Ti napadi so bili usmerjeni predvsem na spletna mesta z igrami na srečo na Kitajskem.

Marca 2023 je vrsto napadov orkestriral domnevni akter grožnje, znan kot UNC3886, domnevno povezan s Kitajsko. Ti napadi so izkoristili ranljivosti ničelnega dne za distribucijo niza po meri izdelanih vsadkov, poleg korenskega kompleta Reptile.

V istem mesecu je bila uporaba zlonamerne programske opreme na osnovi Linuxa z imenom Mélofée , izpeljane iz Reptile, pripisana kitajski hekerski skupini. Nato je junija 2023 kampanja kriptovaluta okužila naprave z zakulisnimi vrati lupinskega skripta, da bi zagotovila Reptile Rootkit, pri čemer je učinkovito prikrila svoje podrejene procese, datoteke in njihovo vsebino kot del svojih operacij.

Reptile Rootkit je opremljen z naprednim naborom groženjskih zmogljivosti

Po podrobnejši analizi Reptila se pojavi značilen mehanizem: komponenta nakladalnika, ki deluje v tandemu z orodjem, imenovanim kmatryoshka. Ta nalagalnik je odgovoren za dešifriranje in nalaganje modula jedra rootkita v pomnilnik sistema. Nato nakladalnik sproži odpiranje določenih vrat in vstopi v stanje pripravljenosti, da napadalec pošlje poseben signal, imenovan čarobni paket, gostitelju z uporabo komunikacijskih protokolov, kot so TCP, UDP ali ICMP.

Podatki, zajeti v čarobni paket, vsebujejo ključne informacije – naslov strežnika C2. Z uporabo teh informacij se vzpostavi obratna lupina, ki se poveže s strežnikom C&C. Ta tehnika sprožanja zlonamernih dejavnosti prek čarobnih paketov je bila prej opažena v drugem rootkitu z imenom Syslogk. V istem smislu je bil podoben scenarij napada, ki vključuje rootkit Reptile, odkrit v Južni Koreji. Napad je pokazal več taktičnih podobnosti z Mélofée.

Če povzamemo, Reptile deluje kot zlonamerna programska oprema rootkit v načinu jedra Linux s primarno funkcijo prikrivanja datotek, imenikov, procesov in omrežnih komunikacij. Kljub temu pa predstavlja tudi posebno zmogljivost: zagotavljanje obrnjene lupine. Zaradi te dodatne lastnosti so sistemi, v katerih je Reptile Rootkit, potencialno ranljivi za ugrabitev s strani groženj.