Το Moriya Rootkit διεισδύει στα συστήματα των Windows

Μια πρόσφατα ανακαλυφθείσα απειλή λειτουργεί σταθερά στην εγκατάσταση εξωτερικών χώρων σε συστήματα Windows, ανέφεραν πρόσφατα ερευνητές ασφαλείας. Το rootkit ονομάζεται Moriya και εκμεταλλεύεται έναν επίμονο παράγοντα απειλής με άγνωστη προέλευση. Οι ερευνητές πιστεύουν ότι οι χάκερ πίσω από τη Moriya προέρχονται από δημογραφικά "κινεζικά".

Όποιος κι αν είναι το κόμμα πίσω από τον Moriya, χρησιμοποιούν το κακόβουλο λογισμικό από περίπου το 2018, αλλά ήταν τόσο καλοί που παραμένουν κρυμμένοι, ανακαλύφθηκε μόλις τώρα. Η εκστρατεία στην οποία το κακόβουλο λογισμικό χρησιμοποιήθηκε για τελευταία φορά σε επιθέσεις μεγάλης κλίμακας ονομάζεται "Tunnel Snake" από ερευνητές.

Η Moriya λειτουργεί κυρίως με την εγκατάσταση παθητικών backdoors στα συστήματα θυμάτων της. Αυτοί είναι συνήθως διακομιστές που αντιμετωπίζουν το κοινό. Μόλις εγκατασταθεί το backdoor, οι χειριστές του Moriya χρησιμοποιούν τους διακομιστές εντολών και ελέγχου τους για να επεξεργαστούν περαιτέρω τα μολυσμένα συστήματα και δίκτυα.

Το Moriya έχει χρησιμοποιηθεί σε επιθέσεις εναντίον αφρικανικών και ασιατικών ιδρυμάτων. Σε ορισμένες περιπτώσεις, οι ερευνητές δηλώνουν ότι δεν χρησιμοποιήθηκε από μόνο του, αλλά είχε ένα συνοδευτικό κιτ πρόσθετων κακόβουλων εργαλείων που επέτρεψαν στους εισβολείς να αποκτήσουν πρόσβαση σε ολόκληρο το δίκτυο.

Αυτή η προσέγγιση ονομάζεται «πλευρική κίνηση» και συνεπάγεται όλο και μεγαλύτερη πρόσβαση σε διάφορους κλάδους ενός δικτύου, συνήθως σε μια αναζήτηση για την αποβολή ευαίσθητων ή πολύτιμων δεδομένων.

Το rootkit Moriya επιτρέπει επίσης στους ηθοποιούς που το χρησιμοποιούν να παρακολουθούν τόσο την εισερχόμενη όσο και την εξερχόμενη κίνηση σε ένα συμβιβασμένο σύστημα. Όταν εντοπιστούν πακέτα που προορίζονται για κακόβουλο λογισμικό στη ροή δεδομένων που λαμβάνει το μηχάνημα, το κακόβουλο λογισμικό αντιδρά.

Όπως εξηγείται από τους ερευνητές ασφαλείας, αυτό επιτρέπει πολύ κρυφή λειτουργία και επιτρέπει ακόμη και στους χάκερ να τροφοδοτούν εντολές κελύφους στο σύστημα θύματος και στη συνέχεια να διαβάσουν τις τιμές εξόδου τους.

Η Moriya ήταν τόσο επιτυχής στην αποφυγή της ανίχνευσης για μεγάλο χρονικό διάστημα, επειδή αυτή η επιθεώρηση πακέτων κάνει κατάχρηση ενός προγράμματος οδήγησης Windows σε λειτουργία πυρήνα. Αυτό σημαίνει ουσιαστικά ότι το κακόβουλο λογισμικό κατάφερε να παρακάμψει το λογισμικό ασφαλείας που ενδέχεται να εκτελεί το σύστημα.

Αν και δεν βρέθηκαν όλες οι περιπτώσεις όπου βρέθηκε το Moriya το εκτεταμένο κακόβουλο σύνολο εργαλείων, το Moriya συνεργάζεται επίσης με μια σειρά κακόβουλων εφαρμογών που χρησιμοποιούνται και σχετίζονται με κινεζικές ομάδες πειρατείας.

Το μόνο κομμάτι των καλών ειδήσεων στην ιστορία είναι ότι η Moriya έχει χρησιμοποιηθεί σε σχετικά λίγες επιθέσεις μέχρι στιγμής. Όλες αυτές οι επιθέσεις φαίνεται να έχουν επικεντρωθεί επίσης πολύ στενά, χωρίς τρέχουσες πληροφορίες για τα θύματα εκτός Αφρικής και Ασίας και συνολικά λιγότερα από δώδεκα θύματα σε αυτές τις δύο περιοχές.