A Moriya Rootkit behatol a Windows rendszerbe

Egy nemrégiben felfedezett fenyegetés folyamatosan dolgozik a hátsó ajtók Windows rendszereken történő telepítésekor - jelentették a közelmúltban a biztonsági kutatók. A rootkit Moriya névre hallgat, és egy még mindig ismeretlen eredetű, tartós fenyegetési szereplő használja ki. A kutatók úgy vélik, hogy a Moriya mögött álló hackerek egy "kínaiul beszélő" demográfiai csoportból származnak.

Bárki is legyen a párt Moriya mögött, 2018 óta használják a rosszindulatú programokat, de olyan jók voltak, hogy rejtve maradtak, most fedezték fel. Azt a kampányt, amelyben a kártevőt utoljára használták nagyszabású támadásokban, a kutatók "Alagútkígyónak" nevezik.

Moriya elsősorban passzív hátsó ajtók telepítésével dolgozik áldozati rendszerein. Ezek általában nyilvános szerverek. A hátsó ajtó telepítése után a Moriya üzemeltetői parancs- és vezérlőszervereikkel tovább használják a fertőzött rendszereket és hálózatokat.

Moriya-t afrikai és ázsiai intézmények elleni támadások során használták fel. Bizonyos esetekben a kutatók azt állítják, hogy nem önállóan használták, hanem volt egy kiegészítő rosszindulatú eszközökkel ellátott készletük, amely lehetővé tette a támadók számára, hogy hozzáférjenek az egész hálózathoz.

Ezt a megközelítést "oldalirányú mozgásnak" hívják, és azt jelenti, hogy egyre több hozzáférést kell szerezni a hálózat különféle ágaihoz, általában érzékeny vagy értékes adatok kiszűrése céljából.

A Moriya rootkit lehetővé teszi az azt működtető szereplők számára is, hogy a bejövő és a kimenő forgalmat egyaránt veszélyeztetik egy veszélyeztetett rendszeren. Amikor a kártevő számára kijelölt csomagokat fedeznek fel a gép által fogadott adatfolyamban, a kártevő reagál.

Amint azt a biztonsági kutatók kifejtették, ez nagyon lopakodó műveletet tesz lehetővé, és lehetővé teszi a hackerek számára, hogy a shell parancsokat betáplálják az áldozat rendszerébe, majd leolvassák kimeneti értékeiket.

Moriya már régóta sikeresen elkerüli az észlelést, mert ez a csomagellenőrzés kern módban visszaél a Windows illesztőprogrammal. Ez gyakorlatilag azt jelenti, hogy a rosszindulatú programnak sikerült kijátszania a rendszer futó biztonsági szoftvereit.

Noha nem minden esetben, ahol Moriyát találták, nem volt kiterjesztett rosszindulatú eszközkészlet, Moriya ugyanakkor együtt dolgozik egy sor olyan rosszindulatú alkalmazással is, amelyeket a kínai hackercsoportok használnak és társítanak hozzájuk.

Az egyetlen jó hír a történetben az, hogy Moriyát eddig viszonylag kevés támadásban alkalmazták. Úgy tűnik, hogy ezek a támadások is nagyon szűk körűek voltak, és nincsenek aktuális információk az Afrikán és Ázsián kívüli áldozatokról, és összesen kevesebb mint egy tucat áldozatról van szó ezen a két területen.