Se reporta el uso del rootkit Reptile contra sistemas Linux surcoreanos.

Recientemente se ha reportado un ataque en los sistemas Linux de empresas surcorenas involucrando el uso de Reptile, un rootkit de código abierto.

Los rootkit aparecieron por primera vez hace unos 20 años, este software malicioso está diseñado para infectar un equipo, permitiendo al atacante instalar una serie de herramientas que le den acceso al ordenador. Normalmente este malware se oculta instalándose en ficheros del sistema operativo, sorteando así las medidas de seguridad de las aplicaciones antimalware y otros productos de seguridad. Los rootkits suelen contenter herramientas como keyloggers, módulos para robar números de tarjetas bancarias, bots para ataques DDoS y algunas funciones para desactivar el software de seguridad. Los rootkits actúan como un backdoor que permite al atacante infectar de forma remota al equipo y eliminar o instalar componentes específicos.

Existen dos tipos de rootkits: user-mode y kernel-mode. Los primeros funcionan en el mismo lugar donde opera el sistema operativo y las aplicaciones. Ejecutan sus funciones maliciosas mediante las aplicaciones del equipo o reescribiendo la memoria que usan dichas aplicaciones. Este tipo de rootkit es el más habitual.
Los rootkits de tipo kernel-mode operan desde el núcleo (kernel) y permiten emplear el máximo privilegio, es decir, el atacante tiene el control total del ordenador infectado. Este tipo de malware es más complejo que el anterior y, por ende, menos habitual. Además, también es más difícil de detectar y eliminar.

Reptile es un rootkit kernel-mode que afecta a sistemas Linux, el código está disponible públicamente en GitHub. A diferencia de otros rootkits, que ofrecen capacidades típicas de ocultación para archivos, directorios, procesos y comunicaciones de red. Reptile ofrece un shell inverso, que es un proceso en el dispositivo infectado que una comunicación de terminal con el servidor del atacante para ejecutar comandos de forma remota en el dispositivo, es una técnica eficiente que evade los firewalls y filtros de seguridad del tráfico.

Adicionalmente, el método«Port Knocking» se puede usar para transmitir un paquete específico al sistema infectado para activar la shell inversa con el atacante. Este método el malware abre un puerto específico en el sistema infectado y permanece a la espera. Cuando el atacante envía un paquete al sistema sobre los protocolos TCP, UDP o ICMP se utiliza como base para establecer una conexión con el servidor C&C del atacante, ya que en dichos paquetes se envía la dirección del servidor C&C.

Este tipo de comportamiento específico donde se utilizan paquetes para activar los procesos maliciosos se ha observado anteriormente en el rootkit Syslogk, documentado por Avast el año pasado.

Trend Micro registró el primer uso del rootkit en mayo de 2022 en relación con un grupo de atacantes dedicados a la intrusión llamado Earth Berberoka (también conocido como GamblingPuppet). Se descubrió que usaban el malware para ocultar conexiones y procesos relacionados con un troyano Python multiplataforma (conocido como «Pupy RAT») en ataques dirigidos a sitios de juego en China.

Después de estar disponible públicamente en GitHub como código abierto, Reptile se ha utilizado constantemente en ataques. Por ejemplo, en marzo de 2023, Mandiant, propiedad de Google, detalló una serie de ataques realizados por atacantes vinculados a China, llamados UNC3886, que empleó exploits de día cero en los dispositivos Fortinet para desplegar una serie de rootkits personalizados, así como Reptile.

Más información:

• https://es.wikipedia.org/wiki/Rootkit
• https://asec.ahnlab.com/en/55785/
• https://thehackernews.com/2023/08/reptile-rootkit-advanced-linux-malware.html

La entrada Se reporta el uso del rootkit Reptile contra sistemas Linux surcoreanos. se publicó primero en Una al Día.