Ένα κρυφό εμφύτευμα Linux που εντοπίστηκε πρόσφατα επέτρεψε στην κινεζική ομάδα κυβερνοκατασκοπείας Winnti να διεξάγει στοχευμένες επιθέσεις, προειδοποιεί η γαλλική εταιρεία κυβερνοασφάλειας ExaTrack.

Με το όνομα  “Melofee” και στόχους  διακομιστές Linux, το κακόβουλο λογισμικό συνοδεύεται από ένα rootkit λειτουργίας πυρήνα και εγκαθίσταται χρησιμοποιώντας εντολές φλοιού, μια συμπεριφορά όπως αυτή των άλλων rootkits Winnti Linux.

Τα ταυτοποιημένα δείγματα Melofee πιθανότατα χρονολογούνται από τον Απρίλιο/Μάιο του 2022 και μοιράζονται μια κοινή βάση κωδικών, αλλά δείχνουν μικρές αλλαγές στο πρωτόκολλο επικοινωνίας, την κρυπτογράφηση και τη λειτουργικότητα. Η κύρια αλλαγή μεταξύ των δειγμάτων που παρατηρήθηκαν είναι η συμπερίληψη ενός rootkit λειτουργίας πυρήνα στη νεότερη έκδοση.

Το rootkit είναι μια τροποποιημένη έκδοση ενός έργου ανοιχτού κώδικα που ονομάζεται Reptile και έχει περιορισμένη λειτουργικότητα, εγκαθιστώντας κυρίως ένα hook για να κρυφτεί και ένα άλλο για να διασφαλίσει την επικοινωνία με το στοιχείο userland.

Η αλυσίδα μόλυνσης περιλαμβάνει τη χρήση εντολών φλοιού για την ανάκτηση ενός προγράμματος εγκατάστασης και ενός προσαρμοσμένου δυαδικού αρχείου από έναν διακομιστή που ελέγχεται από τον εισβολέα. Γραμμένο σε C++, το πρόγραμμα εγκατάστασης αναπτύσσει τόσο το rootkit όσο και το εμφύτευμα διακομιστή και διασφαλίζει ότι και τα δύο εκτελούνται κατά την εκκίνηση.

Το εμφύτευμα υποστηρίζει εντολές για την εξάλειψη της διαδικασίας και την αφαίρεση της επιμονής, την ενημέρωση και την επανεκκίνηση, τη δημιουργία νέας υποδοχής για αλληλεπίδραση, τη συλλογή και την εξαγωγή πληροφοριών συστήματος, την ανάγνωση/εγγραφή αρχείων, την εκκίνηση ενός κελύφους και τη λίστα/δημιουργία/διαγραφή καταλόγων.

Το κακόβουλο λογισμικό υποστηρίζει επικοινωνία μέσω TCP, χρησιμοποιώντας μια προσαρμοσμένη μορφή πακέτου, μπορεί να χρησιμοποιήσει ένα κρυπτογραφημένο κανάλι TLS για την ανταλλαγή δεδομένων με τον διακομιστή εντολών και ελέγχου (C&C) και μπορεί να στείλει δεδομένα χρησιμοποιώντας το πρωτόκολλο KCP.

Η ανάλυση της υποδομής του Melofee αποκάλυψε συνδέσεις με διακομιστές C&C που χρησιμοποιούνται από τα ShadowPad, Winnti και HelloBot και με τομείς που τα PlugX, Spark, Cobalt Strike, StowAway και το εργαλείο τηλεχειρισμού toDesk έχουν χρησιμοποιήσει ως διακομιστές C&C.

Το ExaTrack ανακάλυψε επίσης ένα εμφύτευμα Linux που ονομάζεται «AlienReverse», το οποίο έδειξε ομοιότητες κώδικα με το Melofee, αλλά το θεωρούν διαφορετική οικογένεια κακόβουλου λογισμικού.

«Οι δυνατότητες που προσφέρει το Melofee είναι σχετικά απλές, αλλά μπορεί να επιτρέψουν στους αντιπάλους να διεξάγουν τις επιθέσεις τους κάτω από το ραντάρ. Αυτά τα εμφυτεύματα δεν εμφανίστηκαν ευρέως, δείχνοντας ότι οι εισβολείς πιθανότατα περιορίζουν τη χρήση τους σε στόχους υψηλής αξίας», καταλήγει η ExaTrack.

Γνωστό και ως APT41, Barium, Blackfly, Bronze Atlas, Double Dragon, Wicked Spider και Wicked Panda, και πιστεύεται ότι χρηματοδοτείται από την κινεζική κυβέρνηση, η Winnti εξαπολύει ενεργά επιθέσεις κυβερνοκατασκοπείας και οικονομικά κίνητρα από τουλάχιστον το 2007.