Руткитът е злонамерена софтуерна програма, която помага на киберпрестъпниците да проникнат в системата и да поемат контрола. Хакерите използват руткитове, за да извършват шпионаж, кражба на данни, да внедряват друг зловреден софтуер, например ransomware, и то без да оставят следи. След като руткитът бъде инсталиран на устройство, той може да прихваща системни повиквания, да замества софтуер и процеси и да бъде част от по-голям комплект експлойти, съдържащ други модули, като например кийлогъри, зловреден софтуер за кражба на данни или дори зловреден софтуер за добив на криптовалута.

Тези видове програми обаче се разработват трудно, тъй като за създаването им са необходими време и средства. Ето защо повечето атаки, базирани на руткити, се свързват с групи за напреднали постоянни заплахи (APT), тъй като те разполагат с уменията и ресурсите за разработване на тази форма на зловреден софтуер. В резултат на това те са склонни да избират цели с висока стойност както за финансово мотивиранe , така и за шпионски атаки.

Проучване, анализиращо еволюцията и използването на руткитове за извършване на кибератаки, разкрива, че в 56% от случаите киберпрестъпниците използват този софтуер, за да атакуват високопоставени лица, като например високопоставени служители, дипломати или служители на организации, които са привлекателни за хакерите. По отношение на секторите, които са най-често обект на тези заплахи, на първо място се нареждат правителствените институции (44%), следвани от научноизследователските институти (38%), телекомуникационните оператори (25%), промишлените предприятия (19%) и финансовите организации (19%).

Проучването показва също, че руткитовете често се разпространяват чрез тактики на социално инженерство, по-специално чрез използване на фишинг (69%) и експлоатиране на уязвимости (62%).

Видове руткит

Съществуват три вида руткитове, които се класифицират според нивото на получените привилегии, и те са следните:

• Kernel-mode rootkits: този тип руткит работи на ниво ядро, така че има същите привилегии като операционната система. Те са проектирани като драйвери за устройства или модули, които могат да се зареждат. Разработването им е сложно, тъй като грешка в изходния код може да повлияе на стабилността на системата, което прави зловредния софтуер видим.
• Руткитове в потребителски режим: този тип се разработва по-лесно от руткитовете в режим на ядрото, тъй като за проектирането им са необходими по-малко прецизност и знания, затова обикновено се използват при масирани атаки. Тези руткитове работят с по-малко привилегии, въпреки че могат да прихващат системни повиквания и да подменят стойностите, връщани от API и приложения, за да получат контрол над машината.
• Комбинирани руткитове: тези видове руткитове са проектирани така, че да комбинират двата режима на работа и да действат и на двете нива.

През есента на 2021г. севернокорейската група Lazarus проведе кампания за внедряване на руткит, която беше насочена към служител на аерокосмическа компания в Нидерландия и политически журналист в Белгия. И двете цели са се свързали с възможности за работа в престижна компания и са изпратили документи, приложени към предполагаемото предложение за работа. Единият от тях ги е получил чрез LinkedIn, а другият – по електронна поща. Отварянето на файловете обаче предизвикало поредица от атаки. Според разследващите този случай, които оповестиха заключенията си през септември тази година, най-фрапиращият случай е руткит модул, който използва уязвимост в драйверите на устройствата на Dell, за да получи възможност да чете и записва паметта на ядрото.

Как да защитите бизнеса си от този тип атаки?

Въпреки че този тип заплаха е проектирана така, че да избегне откриване, съществуват решения, които могат не само да я открият, но и да я задържат и блокират. Устройствата от типа WatchGuard Firebox включват три усъвършенствани функции, способни да идентифицират и спрат този зловреден софтуер:

• APT Blocker: тази технология за пясъчници може да открие руткита още преди той да получи достъп до системата. Тя анализира поведението, за да определи дали даден файл е злонамерен, като идентифицира и изпраща подозрителни файлове към базирана в облака пясъчна кутия, която емулира изпълнението и анализира кода на файла. Ако файлът е злонамерен, APT предприема действия и го блокира, за да защити мрежата.
• Защита от зловреден софтуер, задвижвана от изкуствен интелект: проектирана е да идентифицира заплахи чрез разбиване на милиони файлове на основните им компоненти, след което анализира характеристиките на всеки от тях в комбинация, за да идентифицира индикатори за лоши намерения. Ако бъде открит зловреден софтуер, файлът се блокира, преди да бъде изпълнен.
• Видимост в облака: При руткит атаките е важно да има пълна видимост в мрежата, за да се анализират аномалиите. Това дава възможност за задълбочено проучване в съответствие с подробната информация в докладите, генерирани от платформата.

Киберпрестъпниците могат да бъдат изключително изобретателни, когато става въпрос за осъществяване на професионални заплахи, но те все още могат да бъдат осуетени. Ключът е да се защитят корпоративните мрежи с подходящи решения, които могат да спрат руткит атаките, преди да е станало твърде късно.