Hem siber güvenlik savunmalarının hem de gizliliğin önemli bir ihlali ile, bir Kuzey Kore tehdit oyuncusundan geldiğine inanılan hassas hack araçları ve teknik dokümantasyonların bir sürü son zamanlarda çevrimiçi olarak sızdırıldı.
Phrack Magazine’deki kapsamlı bir makale aracılığıyla ortaya çıkan döküm, gelişmiş istismar taktikleri, ayrıntılı bir sistem uzlaşma günlüğü ve en önemlisi son teknoloji ürünü bir Linux gizli rootkit içerir.
Sızdırmadaki araçlar, Güney Kore hükümetini ve özel sektör sistemlerini hedefleyen saldırılar için özel görünmektedir ve bazı teknikler Kuzey Kore’nin kötü şöhretli Kimuky İleri Dikkatli Tehdit (APT) grubuna atfedilenlerle yakından uyumludur.
Kötü niyetli yazılım paketinin ortaya çıkışı, küresel siber güvenlik uzmanları arasında alarm zillerine sahiptir. Sızıntı sadece Kuzey Koreli saldırganların hassas operasyonel uygulamalarını da ortaya koymakla kalmıyor, aynı zamanda hazır bir saldırı metodolojisine sahip diğer kötü niyetli aktörleri de silahlandırıyor.
Sunmuş bilgilerin erken analizi, iç Güney Kore ağlarına yapılan başarılı saldırıların yanı sıra hassas dijital sertifikaların potansiyel hırsızlığını ve devam eden arka kapı gelişimini göstermektedir.
Bu yeni maruz kalma dalgası, sofistike devlet destekli casusluk ile Asya-Pasifik bölgesinde kritik altyapıyı hedeflemeye devam eden kalıcı siber tehditler arasında açık bir bağlantı kurar.
Bu vahiylerin ardından, Sandfly güvenlik analistleri sızdırılan Linux rootkit’in iç işleyişine derinlemesine tanımlandı ve araştırdı.
Adli araştırmaları, dikkat çekici bir gizlilik seviyesine ulaşabilen bir araç ortaya çıkardı, saldırganların arka kapı operasyonlarını gizlemelerini, hem dosyaları hem de işlemleri gizlemelerini ve yüksek derecede izlenen ortamlarda bile kalıcılığı korumasını sağladı.
Sandfly’nin raporuna göre, bu yeni açıklanan rootkit, Linux sistem çağrılarını engellemek ve kamuflajlamak için çekirdek mod kötü amaçlı yazılımlar tarafından yaygın olarak sömürülen bir çerçeve olan yerleşik Khook Kütüphanesi’ne dayanmaktadır.
Linux altyapısına dayanan kuruluşlar için etkiler büyüktür, çünkü bu kötü amaçlı yazılımların yetenekleri, saldırganlar için şifreli, gizli uzaktan erişimi kolaylaştırırken klasik algılama araçlarını atlatabilir.
Kuzey Kore rootkitinin özellikle sinsi bir özelliği, hem hayatta kalmayı hem de gizli çalışmayı sağlamak için tasarlanmış sağlam enfeksiyonu ve kalıcılık mekanizmasıdır.
İlk uzlaşma üzerine, kötü amaçlı çekirdek modülü (tipik olarak /usr/lib64/tracker-fs) kuruludur, kurbanın çekirdek versiyonuna benzersiz bir şekilde uyarlanmıştır – hedef sistem güncellenirse başarısızlığa eğilimli bir süreç, ancak başarılı olduğunda son derece etkilidir.
Rootkit hemen kendi modülünü gizler ve araçlar lsmod varlığını ortaya çıkarmaya güçsüz. Bunun yerine tespit, olağandışı dosyalara veya imzasız modül uyarılarına karşı adli kontroller gerektirir – Sandfly araştırmacıları tarafından vurgulanan bir görev.
Yüklendikten sonra, rootkit hem kendisi hem de ilişkili arka kapı yükü için çok katmanlı bir gizleme stratejisi yürütür (yaygın olarak tracker-efsaltında gizli /usr/include/tracker-fs/).
Kalıcılığı, Hidden System V Init dizinlerine yatırılan komut dosyalarıyla garanti edilir (/etc/init.d/tracker-fs– /etc/rc*.d/S55tracker-fs), her sistem botunda çekirdek modülünü yeniden enjekte edecek şekilde yapılandırılmıştır.
Özellikle, bu dosyalar ve dizinler standart dizin listelerinden yok olur, ancak tam yolları belirtilirse veya gelişmiş adli yardımcı programlar kullanılarak erişilebilir – hem manuel olay tepkisini karmaşıklaştırır hem de saldırının karmaşıklığını vurgular.
Örneğin, sistem yöneticileri ile boş dizinler görebilir ls /usr/lib64yine de doğrudan komutlar:
stat /```/lib64/tracker-fs
file```sr/lib64/tracker-fsMevcut ve aktifse gizli kötü amaçlı modül hakkında ayrıntıları döndürür.
Arka kapı bileşeni daha sonra herhangi bir bağlantı noktasında “sihirli paketler” dinler, güvenlik duvarı kurallarını atlar ve şifreli uzaktan komut yürütme, dosya aktarımı, SOCKS5 proxy dağıtım ve uzlaşmış ana bilgisayarlar arasındaki yanal harekete izin verir.
Ayrıca, proses monitörlerinden ve sistem kütüklerinden saklanarak sanayi karşıtı kabuk özellikleri, komut geçmişini silme ve kaçınma tespiti kullanır.
.webp)
Sızının yayını bu nedenle sadece bir saldırı araçları koleksiyonunu değil, aynı zamanda gelişmiş Linux kalıcılığı ve kaçınma yöntemleri için nadir, kapsamlı bir rehber ortaya çıkardı.
Sandfly Security’nin araştırmasının açıkça belirttiği gibi, bu tür implantlara karşı tek güvenilir savunma otomatik adli avcılık, anormal çekirdek aktivitesi için katı izleme ve uzlaşma şüphelendiği yerlerde derhal sistem izolasyonu ve adli triyaj içerir.
Rootkit’in tasarımı acil bir ders veriyor: Artan siber suç ve savunma savaşında, tespit ve yanıt yöntemleri, devlet destekli gizli kötü amaçlı yazılım tehdidini ele almak için sürekli olarak gelişmelidir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.