رونمایی هکرهای چینی از یک خلاء امنیتی بزرگ در لینوکس

محققان خلاء امنیتی بزرگ در لینوکس که قبلاً دیده نشده بود را کشف کردند که توسط یک مهاجمان سایبری مرتبط با دولت چین استفاده می شود.

به گزارش تکناک، خلاء امنیتی بزرگ در لینوکس از روی یک درب پشتی ویندوز به نام Trochilus نامگذاری شده است که برای نخستین بار در سال 2015 توسط محققان شبکه Arbor، که اکنون با نام Netscout شناخته می‌شوند، کشف شد.

آن‌ها اعلام کردند که Trochilus فقط در حافظه اجرا می‌شود و در اکثر موارد هیچ بار نهایی در دیسکها نمایش داده نمی‌شود. این امر باعث می‌شود که تشخیص این نرم‌افزار مخرب دشوار باشد.

محققان از NHS Digital در انگلستان اعلام کرده‌اند که Trochilus توسط APT10 توسعه داده شده است، یک گروه تهدید پیشرفته که به دولت چین مرتبط است و همچنین با نام‌های Stone Panda و MenuPass شناخته می‌شود.

گروه‌های دیگر در نهایت از آن استفاده کردند و کد منبع آن برای بیش از شش سال در GitHub در دسترس بوده است. تروکیلوس در حملاتی دیده شده است که از یک نرم‌افزار مخرب جداگانه به نام RedLeaves استفاده می‌کنند.

در ژوئن، محققان شرکت امنیتی Trend Micro یک فایل دودویی رمزنگاری شده را در یک سروری که توسط یک گروهی که از سال 2021 تعقیب می‌شدند، پیدا کردند. با جستجوی نام فایل در VirusTotal ، libmonitor.so.2، محققان یک فایل اجرایی لینوکسی با نام “mkmon” را پیدا کردند.

این فایل اجرایی اطلاعات اعتباری را شامل می‌شود که می‌تواند برای رمزگشایی فایل libmonitor.so.2 و بازیابی بار اصلی آن استفاده شود. این موضوع منجر به نتیجه‌گیری محققان می‌شود که “mkmon” یک فایل نصب است که فایل libmonitor.so.2 را ارسال و رمزگشایی می‌کند.

نرم‌افزار مخرب لینوکسی، تعدادی از عملکردهای موجود در تروکیلوس را به همراه یک پیاده‌سازی جدید از پروتکل SOCKS (Socket Secure) ترکیب کرده است. در نهایت، محققان Trend Micro کشف خود را با نام SprySOCKS نامگذاری کردند. واژه “spry” به رفتار سریع و قسمت اضافی SOCKS اشاره دارد.

SprySOCKS قابلیت‌های معمول درب پشتی را پیاده‌سازی می‌کند، از جمله جمع‌آوری اطلاعات سیستم، بازکردن یک پوسته راه دور تعاملی برای کنترل سیستم‌های مورد نفوذ، فهرست‌کردن ارتباطات شبکه و ایجاد یک پروکسی بر اساس پروتکل SOCKS برای بارگذاری فایل‌ها و داده‌های دیگر بین سیستم مورد نفوذ و سرور دستورات کنترلی که توسط مهاجم کنترل می‌شود. جدول زیر برخی از قابلیت‌ها را نشان می‌دهد:

MESSAGE ID	NOTES
0x09	Gets machine information
0x0a	Starts interactive shell
0x0b	Writes data to interactive shell
0x0d	Stops interactive shell
0x0e	Lists network connections (parameters: “ip”, “port”, “commName”, “connectType”)
0x0f	Sends packet (parameter: “target”)
0x14, 0x19	Sends initialization packet
0x16	Generates and sets clientid
0x17	Lists network connections (parameters: “tcp_port”, “udp_port”, “http_port”, “listen_type”, “listen_port”)
0x23	Creates SOCKS proxy
0x24	Terminates SOCKS proxy
0x25	Forwards SOCKS proxy data
0x2a	Uploads file (parameters: “transfer_id”, “size”)
0x2b	Gets file transfer ID
0x2c	Downloads file (parameters: “state”, “transferId”, “packageId”, “packageCount”, “file_size”)
0x2d	Gets transfer status (parameters: “state”, “transferId”, “result”, “packageId”)
0x3c	Enumerates files in root /
0x3d	Enumerates files in directory
0x3e	Deletes file
0x3f	Creates directory
0x40	Renames file
0x41	No operation
0x42	Is related to operations 0x3c – 0x40 (srcPath, destPath)

پس از رمزگشایی فایل دودویی و کشف SprySOCKS، محققان از اطلاعاتی که یافته اند برای جستجوی فایل‌های مرتبط در VirusTotal استفاده کردند. جستجوی آن‌ها نسخه‌ای از نرم‌افزار مخرب با شماره نسخه 1.1 را نشان داد. نسخه‌ای که Trend Micro پیدا کرده بود، نسخه 1.3.6 بود. وجود چند نسخه نشان می‌دهد که درپشتی در حال حاضر در دست توسعه قرار دارد.

سرور دستور و کنترل که SprySOCKS به آن متصل می‌شود، شباهت‌های قابل توجهی با یک سروری دارد که در یک حمله با یک نرم‌افزار مخرب ویندوزی متفاوت به نام RedLeaves استفاده شده بود.

مانند SprySOCKS، RedLeaves نیز بر اساس تروکیلوس بود. رشته‌هایی که در هر دو تروکیلوس و RedLeaves وجود دارند، همچنین در قسمت SOCKS که به SprySOCKS اضافه شده است نیز وجود دارند. کد SOCKS از HP-Socket، یک چارچوب شبکه با عملکرد بالا و منشأ چینی، الگو برداری شده است.

شرکت ،Trend Micro SprySOCKS را به یک عامل تهدیدی نسبت می‌دهد که آن را Earth Lusca نامگذاری کرده است. محققان این گروه را در سال 2021 کشف کرده و در سال بعد آن را مستندسازی کرده‌اند. Earth Lusca هدف خود را بر روی سازمان‌ها در سراسر جهان، به طور اصلی در دولت‌ها در منطقه آسیا قرار داده است.

این گروه با استفاده از مهندسی اجتماعی، افراد هدف را به سایت‌های مخاطب جذب می‌کند که در آنجا هدف‌ها با نرم‌افزارهای مخرب آلوده می‌شوند. علاوه بر علاقه به فعالیت‌های جاسوسی، Earth Lusca به نظر می‌رسد دارای انگیزه‌های مالی است و به شرکت‌های بازی و رمزارزها هم توجه دارد.

سرور Earth Lusca که SprySOCKS را نیز میزبانی می‌کرد، بارهای معروف به Cobalt Strike و Winnti را نیز ارسال می‌کرد. Cobalt Strike یک ابزار هک است که توسط حرفه‌ای‌های امنیتی و عوامل تهدید استفاده می‌شود. این ابزار یک مجموعه کامل از ابزارها را برای یافتن و بهره‌برداری از آسیب‌پذیری‌ها فراهم می‌کند. Earth Lusca از آن برای گسترش دسترسی خود پس از به دست آوردن نقطه شروع اولیه در یک محیط هدف استفاده می‌کرد.

از طرف دیگر، Winnti نام یک مجموعه نرم‌افزار مخرب است که بیش از ده سال استفاده می‌شود و همچنین نام یک سری از گروه‌های تهدید متمایز است که همگی به تجهیزات اطلاعاتی دولت چین مرتبط هستند و یکی از پرفعال‌ترین سندیکای هک جهان به شمار می‌روند.

گزارش Trend Micro روز دوشنبه شماره‌های IP، هش‌های فایل و سایر شواهد را ارائه می‌دهد که افراد می‌توانند از آن‌ها استفاده کنند تا تشخیص دهند که آیا سیستم‌های آن‌ها مورد نفوذ قرار گرفته است یا خیر.