Руткитът е злонамерена софтуерна програма, която помага на киберпрестъпниците да проникнат в системата и да поемат контрола. Хакерите използват руткитове, за да извършват шпионаж, кражба на данни, да внедряват друг зловреден софтуер, например ransomware, и то без да оставят следи. След като руткитът бъде инсталиран на устройство, той може да прихваща системни повиквания, да замества софтуер и процеси и да бъде част от по-голям комплект експлойти, съдържащ други модули, като например кийлогъри, зловреден софтуер за кражба на данни или дори зловреден софтуер за добив на криптовалута.
Тези видове програми обаче се разработват трудно, тъй като за създаването им са необходими време и средства. Ето защо повечето атаки, базирани на руткити, се свързват с групи за напреднали постоянни заплахи (APT), тъй като те разполагат с уменията и ресурсите за разработване на тази форма на зловреден софтуер. В резултат на това те са склонни да избират цели с висока стойност както за финансово мотивиранe , така и за шпионски атаки.
Проучване, анализиращо еволюцията и използването на руткитове за извършване на кибератаки, разкрива, че в 56% от случаите киберпрестъпниците използват този софтуер, за да атакуват високопоставени лица, като например високопоставени служители, дипломати или служители на организации, които са привлекателни за хакерите. По отношение на секторите, които са най-често обект на тези заплахи, на първо място се нареждат правителствените институции (44%), следвани от научноизследователските институти (38%), телекомуникационните оператори (25%), промишлените предприятия (19%) и финансовите организации (19%).
Проучването показва също, че руткитовете често се разпространяват чрез тактики на социално инженерство, по-специално чрез използване на фишинг (69%) и експлоатиране на уязвимости (62%).
Съществуват три вида руткитове, които се класифицират според нивото на получените привилегии, и те са следните:
През есента на 2021г. севернокорейската група Lazarus проведе кампания за внедряване на руткит, която беше насочена към служител на аерокосмическа компания в Нидерландия и политически журналист в Белгия. И двете цели са се свързали с възможности за работа в престижна компания и са изпратили документи, приложени към предполагаемото предложение за работа. Единият от тях ги е получил чрез LinkedIn, а другият – по електронна поща. Отварянето на файловете обаче предизвикало поредица от атаки. Според разследващите този случай, които оповестиха заключенията си през септември тази година, най-фрапиращият случай е руткит модул, който използва уязвимост в драйверите на устройствата на Dell, за да получи възможност да чете и записва паметта на ядрото.
Въпреки че този тип заплаха е проектирана така, че да избегне откриване, съществуват решения, които могат не само да я открият, но и да я задържат и блокират. Устройствата от типа WatchGuard Firebox включват три усъвършенствани функции, способни да идентифицират и спрат този зловреден софтуер:
Киберпрестъпниците могат да бъдат изключително изобретателни, когато става въпрос за осъществяване на професионални заплахи, но те все още могат да бъдат осуетени. Ключът е да се защитят корпоративните мрежи с подходящи решения, които могат да спрат руткит атаките, преди да е станало твърде късно.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.