Ο κινέζος ηθοποιός απειλών χρησιμοποιεί κακόβουλο λογισμικό Melofee για να κατασκοπεύει συστήματα Linux
Η ExaTrack, μια εταιρεία κυβερνοασφάλειας με έδρα τη Γαλλία, εξέδωσε μια προειδοποίηση σχετικά με ένα νέο εμφύτευμα Linux, που ονομάστηκε "Melofee", το οποίο χρησιμοποιήθηκε από την κινεζική ομάδα κυβερνοκατασκοπείας Winnti για να πραγματοποιήσει στοχευμένες επιθέσεις.
Το Melofee έχει σχεδιαστεί για να στοχεύει διακομιστές Linux και εγκαθίσταται μέσω εντολών φλοιού, παρόμοια με άλλα rootkits Linux που χρησιμοποιεί η Winnti. Το κακόβουλο λογισμικό περιλαμβάνει ένα rootkit λειτουργίας πυρήνα που είναι μια τροποποιημένη έκδοση του έργου ανοιχτού κώδικα Reptile. Τα δείγματα Melofee έχουν εντοπιστεί και μοιράζονται μια κοινή βάση κώδικα, αλλά παρουσιάζουν μικρές αλλαγές στην κρυπτογράφηση, το πρωτόκολλο επικοινωνίας και τη λειτουργικότητα. Η πιο πρόσφατη έκδοση του κακόβουλου λογισμικού περιλαμβάνει τη συμπερίληψη ενός rootkit λειτουργίας πυρήνα. Η αλυσίδα μόλυνσης για το Melofee περιλαμβάνει τη χρήση εντολών φλοιού για τη λήψη ενός προγράμματος εγκατάστασης και προσαρμοσμένου δυαδικού αρχείου από έναν διακομιστή που ελέγχεται από τον εισβολέα. Το πρόγραμμα εγκατάστασης, γραμμένο σε C++, εγκαθιστά τόσο το rootkit όσο και το εμφύτευμα διακομιστή και διασφαλίζει ότι και τα δύο εκτελούνται κατά την εκκίνηση.
Το εμφύτευμα μπορεί να εκτελέσει διάφορες ενέργειες, συμπεριλαμβανομένης της εξάλειψης της διαδικασίας και της αφαίρεσης της επιμονής, της ενημέρωσης του, της εξαγωγής πληροφοριών συστήματος, της εκκίνησης ενός κελύφους και της δημιουργίας/διαγραφής καταλόγων. Το Melofee μπορεί να επικοινωνεί μέσω TCP, να χρησιμοποιεί προσαρμοσμένη μορφή πακέτου και να στέλνει δεδομένα μέσω του πρωτοκόλλου KCP. Η ανάλυση της υποδομής του Melofee από το ExaTrack αποκάλυψε συνδέσεις με διακομιστές C&C που χρησιμοποιούνται από άλλες οικογένειες κακόβουλου λογισμικού όπως το ShadowPad, το Winnti και το HelloBot. Το ExaTrack ανακάλυψε επίσης ένα εμφύτευμα Linux που ονομάζεται «AlienReverse», το οποίο έδειξε ομοιότητες με τον κώδικα του Melofee, αλλά πιστεύεται ότι είναι μια ξεχωριστή οικογένεια κακόβουλου λογισμικού.
Τι είναι το Winnti Chinese APT;
Η ομάδα Winnti είναι μια κινεζική προηγμένη επίμονη απειλή (APT) που δραστηριοποιείται τουλάχιστον από το 2010. Η ομάδα είναι γνωστή για τις εξελιγμένες εκστρατείες κυβερνοκατασκοπείας της και έχει συνδεθεί με πολυάριθμες επιθέσεις υψηλού προφίλ εναντίον στόχων σε διάφορες βιομηχανίες, συμπεριλαμβανομένου του gaming , υγειονομική περίθαλψη, τεχνολογία και τηλεπικοινωνίες. Ο όμιλος Winnti έχει συσχετιστεί με κλοπή πνευματικής ιδιοκτησίας, πηγαίου κώδικα και άλλων ευαίσθητων πληροφοριών, οι οποίες στη συνέχεια πιθανότατα χρησιμοποιούνται για εμπορικό κέρδος ή για την υποστήριξη κινεζικών κυβερνητικών συμφερόντων.
Η ομάδα έχει επίσης συνδεθεί με τη χρήση επιθέσεων εφοδιαστικής αλυσίδας, όπου στοχεύουν προμηθευτές λογισμικού και άλλους τρίτους προμηθευτές για να αποκτήσουν πρόσβαση στα δίκτυα των πελατών τους. Συνολικά, ο όμιλος Winnti θεωρείται ένας από τους πιο προηγμένους και παραγωγικούς ομίλους APT που δραστηριοποιούνται εκτός Κίνας.
