دسته‌بندی نشده

رونمایی هکرهای چینی از یک خلاء امنیتی بزرگ در لینوکس

نوشته شده در توسط امیرحسین یونس

محققان خلاء امنیتی بزرگ در لینوکس که قبلاً دیده نشده بود را کشف کردند که توسط یک مهاجمان سایبری مرتبط با دولت چین استفاده می شود.

به گزارش تکناک، خلاء امنیتی بزرگ در لینوکس از روی یک درب پشتی ویندوز به نام Trochilus نامگذاری شده است که برای نخستین بار در سال 2015 توسط محققان شبکه Arbor، که اکنون با نام Netscout شناخته می‌شوند، کشف شد.

آن‌ها اعلام کردند که Trochilus  فقط در حافظه اجرا می‌شود و در اکثر موارد هیچ بار نهایی در دیسکها نمایش داده نمی‌شود. این امر باعث می‌شود که تشخیص این نرم‌افزار مخرب دشوار باشد.

محققان از NHS Digital در انگلستان اعلام کرده‌اند که Trochilus  توسط APT10 توسعه داده شده است، یک گروه تهدید پیشرفته که به دولت چین مرتبط است و همچنین با نام‌های Stone Panda و MenuPass شناخته می‌شود.

گروه‌های دیگر در نهایت از آن استفاده کردند و کد منبع آن برای بیش از شش سال در GitHub در دسترس بوده است. تروکیلوس در حملاتی دیده شده است که از یک نرم‌افزار مخرب جداگانه به نام RedLeaves استفاده می‌کنند.

در ژوئن، محققان شرکت امنیتی Trend Micro یک فایل دودویی رمزنگاری شده را در یک سروری که توسط یک گروهی که از سال 2021 تعقیب می‌شدند، پیدا کردند. با جستجوی نام فایل در VirusTotal ، libmonitor.so.2، محققان یک فایل اجرایی لینوکسی با نام “mkmon” را پیدا کردند.

این فایل اجرایی اطلاعات اعتباری را شامل می‌شود که می‌تواند برای رمزگشایی فایل libmonitor.so.2 و بازیابی بار اصلی آن استفاده شود. این موضوع منجر به نتیجه‌گیری محققان می‌شود که “mkmon” یک فایل نصب است که فایل libmonitor.so.2 را ارسال و رمزگشایی می‌کند.

نرم‌افزار مخرب لینوکسی، تعدادی از عملکردهای موجود در تروکیلوس را به همراه یک پیاده‌سازی جدید از پروتکل SOCKS (Socket Secure) ترکیب کرده است. در نهایت، محققان Trend Micro کشف خود را با نام SprySOCKS نامگذاری کردند. واژه “spry” به رفتار سریع و قسمت اضافی SOCKS اشاره دارد.

SprySOCKS  قابلیت‌های معمول درب پشتی را پیاده‌سازی می‌کند، از جمله جمع‌آوری اطلاعات سیستم، بازکردن یک پوسته راه دور تعاملی برای کنترل سیستم‌های مورد نفوذ، فهرست‌کردن ارتباطات شبکه و ایجاد یک پروکسی بر اساس پروتکل SOCKS برای بارگذاری فایل‌ها و داده‌های دیگر بین سیستم مورد نفوذ و سرور دستورات کنترلی که توسط مهاجم کنترل می‌شود. جدول زیر برخی از قابلیت‌ها را نشان می‌دهد:

MESSAGE ID NOTES
0x09 Gets machine information
0x0a Starts interactive shell
0x0b Writes data to interactive shell
0x0d Stops interactive shell
0x0e Lists network connections (parameters: “ip”, “port”, “commName”, “connectType”)
0x0f Sends packet (parameter: “target”)
0x14, 0x19 Sends initialization packet
0x16 Generates and sets clientid
0x17 Lists network connections (parameters: “tcp_port”, “udp_port”, “http_port”, “listen_type”, “listen_port”)
0x23 Creates SOCKS proxy
0x24 Terminates SOCKS proxy
0x25 Forwards SOCKS proxy data
0x2a Uploads file (parameters: “transfer_id”, “size”)
0x2b Gets file transfer ID
0x2c Downloads file (parameters: “state”, “transferId”, “packageId”, “packageCount”, “file_size”)
0x2d Gets transfer status (parameters: “state”, “transferId”, “result”, “packageId”)
0x3c Enumerates files in root /
0x3d Enumerates files in directory
0x3e Deletes file
0x3f Creates directory
0x40 Renames file
0x41 No operation
0x42 Is related to operations 0x3c – 0x40 (srcPath, destPath)

پس از رمزگشایی فایل دودویی و کشف SprySOCKS، محققان از اطلاعاتی که یافته اند برای جستجوی فایل‌های مرتبط در VirusTotal استفاده کردند. جستجوی آن‌ها نسخه‌ای از نرم‌افزار مخرب با شماره نسخه 1.1 را نشان داد. نسخه‌ای که Trend Micro پیدا کرده بود، نسخه 1.3.6 بود. وجود چند نسخه نشان می‌دهد که درپشتی در حال حاضر در دست توسعه قرار دارد.

سرور دستور و کنترل که SprySOCKS به آن متصل می‌شود، شباهت‌های قابل توجهی با یک سروری دارد که در یک حمله با یک نرم‌افزار مخرب ویندوزی متفاوت به نام RedLeaves استفاده شده بود.

مانند SprySOCKS، RedLeaves نیز بر اساس تروکیلوس بود. رشته‌هایی که در هر دو تروکیلوس و RedLeaves وجود دارند، همچنین در قسمت SOCKS که به SprySOCKS اضافه شده است نیز وجود دارند. کد SOCKS از HP-Socket، یک چارچوب شبکه با عملکرد بالا و منشأ چینی، الگو برداری شده است.

شرکت ،Trend Micro SprySOCKS را به یک عامل تهدیدی نسبت می‌دهد که آن را Earth Lusca نامگذاری کرده است. محققان این گروه را در سال 2021 کشف کرده و در سال بعد آن را مستندسازی کرده‌اند. Earth Lusca هدف خود را بر روی سازمان‌ها در سراسر جهان، به طور اصلی در دولت‌ها در منطقه آسیا قرار داده است.

این گروه با استفاده از مهندسی اجتماعی، افراد هدف را به سایت‌های مخاطب جذب می‌کند که در آنجا هدف‌ها با نرم‌افزارهای مخرب آلوده می‌شوند. علاوه بر علاقه به فعالیت‌های جاسوسی، Earth Lusca به نظر می‌رسد دارای انگیزه‌های مالی است و به شرکت‌های بازی و رمزارزها هم توجه دارد.

سرور Earth Lusca که SprySOCKS را نیز میزبانی می‌کرد، بارهای معروف به Cobalt Strike و Winnti را نیز ارسال می‌کرد. Cobalt Strike یک ابزار هک است که توسط حرفه‌ای‌های امنیتی و عوامل تهدید استفاده می‌شود. این ابزار یک مجموعه کامل از ابزارها را برای یافتن و بهره‌برداری از آسیب‌پذیری‌ها فراهم می‌کند. Earth Lusca از آن برای گسترش دسترسی خود پس از به دست آوردن نقطه شروع اولیه در یک محیط هدف استفاده می‌کرد.

از طرف دیگر، Winnti نام یک مجموعه نرم‌افزار مخرب است که بیش از ده سال استفاده می‌شود و همچنین نام یک سری از گروه‌های تهدید متمایز است که همگی به تجهیزات اطلاعاتی دولت چین مرتبط هستند و یکی از پرفعال‌ترین سندیکای هک جهان به شمار می‌روند.

گزارش Trend Micro روز دوشنبه شماره‌های IP، هش‌های فایل و سایر شواهد را ارائه می‌دهد که افراد می‌توانند از آن‌ها استفاده کنند تا تشخیص دهند که آیا سیستم‌های آن‌ها مورد نفوذ قرار گرفته است یا خیر.

مطالب مرتبط:

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

اخبار جدید تک‌ناک را از دست ندهید.