É caros leitores (a) a edição #72 da Phrack Magazine divulgou um vazamento significativo relacionado a uma operação de espionagem cibernética atribuída à Coreia do Norte. O material traz detalhes técnicos de um rootkit Linux avançado, utilizado por grupos APT para comprometer sistemas em ambientes governamentais e corporativos da Coreia do Sul e Taiwan.
Os dados também mostram sobreposição tática com o grupo norte-coreano Kimsuky, incluindo exploração de redes internas, captura de certificados sensíveis e imagens do desenvolvimento de backdoors ativos.
O conteúdo vazado inclui binários vivos de malware para múltiplas plataformas, exigindo extremo cuidado ao ser manipulado devido ao risco de contaminação.
Características do rootkit
O rootkit analisado corresponde a uma variante de 2025 e opera como um Loadable Kernel Module (LKM) baseado na biblioteca khook, permitindo interceptar chamadas de sistema no kernel. Essa abordagem torna o módulo invisível a ferramentas comuns como o lsmod, além de ocultar processos, conexões de rede e arquivos de persistência nos diretórios /etc/init.d e /etc/rc*.d.
A ativação ocorre por meio de um pacote mágico enviado a qualquer porta. Uma vez ativado, um backdoor criptografado permite execução de comandos em shell, transferência de arquivos, configuração de proxy ou encadeamento com outros hosts.
Além disso, o rootkit incorpora medidas anti-forenses como redirecionamento do histórico de shell para /dev/null, prevenção de timeouts (TMOUT=0) e criptografia total no tráfego de comunicação.
O módulo malicioso reside no caminho /usr/lib64/tracker-fs e é carregado como um kernel não assinado (default: vmwfxs), comunicando-se por meio de um socket em /proc/acpi/pcicard.
Apesar da sofisticação, sua compatibilidade é frágil, funcionando apenas com versões específicas do kernel, o que o torna instável após atualizações. Mesmo assim, o rootkit camufla sua atividade em serviços legítimos como portas web ou SSH para driblar firewalls.
Detecção e resposta
Ferramentas como o Sandfly são indicadas para detectar anomalias automaticamente, como arquivos ocultos, módulos de kernel contaminados e processos camuflados.
Administradores também podem aplicar verificações manuais:
- Verificar sinais de kernel taint com
dmesgou logs em/var/log/kern.log - Executar comandos
statdiretamente em caminhos suspeitos (mesmo que invisíveis vials) - Inspecionar serviços com
systemctl status tracker-fs.service - Analisar binários como
/usr/include/tracker-fs/tracker-efscomstrings
O rootkit utiliza técnicas como encadeamento multi-hop, proxies SOCKS5 e envio de pacotes com delay para evitar detecção por padrões.
Especialistas recomendam que, ao detectar esse tipo de infecção, os sistemas afetados sejam isolados e totalmente reconstruídos. A simples tentativa de limpeza não garante a remoção completa do código malicioso, dada a profundidade da invasão com acesso root.
Indicadores de comprometimento (IOCs)
| Categoria | Indicador | Notas |
|---|---|---|
| Módulo do kernel | vmwfxs | Nome padrão, não assinado; pode ser alterado |
| Caminho de arquivo | /usr/lib64/tracker-fs | Arquivo oculto; visível via stat |
| Binário backdoor | /usr/include/tracker-fs/tracker-efs | Contém strings maliciosas e funções anti-forenses |
| Persistência | /etc/init.d/tracker-fs, /etc/rc*.d/S90* | Scripts ocultos de inicialização |
| Comunicação | /proc/acpi/pcicard | Socket usado pelo rootkit; visível via ls -al |
| Serviço systemd | tracker-fs.service | Pode ser listado com systemctl status |
| Variáveis de ambiente | HISTFILE=/dev/null, TMOUT=0 | Usadas para esconder atividades de shell |
