সাইডওয়াক ব্যাকডোরের একটি নতুন লিনাক্স সংস্করণ হংকং বিশ্ববিদ্যালয়ের বিরুদ্ধে একটি অবিরাম আক্রমণে মোতায়েন করা হয়েছে যা প্রতিষ্ঠানের নেটওয়ার্ক পরিবেশের একাধিক সার্ভারের সাথে আপোস করেছে।
ESET-এর গবেষকরা আক্রমণ এবং পিছনের দরজা স্পার্কলিংগবলিনকে দায়ী করেছেন, একটি অ্যাডভান্সড পারসিসটেন্ট থ্রেট (এপিটি) গ্রুপ যেটি বেশিরভাগ পূর্ব ও দক্ষিণ-পূর্ব এশিয়ার সংগঠনগুলিকে লক্ষ্য করে, একাডেমিক সেক্টরে ফোকাস করে, তারা একটিতে বলেছে। ব্লগ পোস্ট 14 সেপ্টেম্বর প্রকাশিত।
এপিটি বিশ্বজুড়ে বিস্তৃত সংস্থা এবং উল্লম্ব শিল্পের উপর আক্রমণের সাথেও যুক্ত হয়েছে এবং এটি ম্যালওয়ারের অস্ত্রাগারে সাইডওয়াক এবং ক্রসওয়াক ব্যাকডোর ব্যবহার করার জন্য পরিচিত, গবেষকরা বলেছেন।
প্রকৃতপক্ষে, হংকং বিশ্ববিদ্যালয়ে হামলা দ্বিতীয়বারের মতো স্পার্কলিংগবলিন এই বিশেষ প্রতিষ্ঠানকে লক্ষ্য করেছে; প্রথমটি ছিল 2020 সালের মে মাসে, ESET গবেষকদের সাথে ছাত্র বিক্ষোভের সময় প্রথমে লিনাক্স ভেরিয়েন্ট সনাক্ত করা 2021 সালের ফেব্রুয়ারিতে ইউনিভার্সিটির নেটওয়ার্কে সাইডওয়াক আসলে এটিকে চিহ্নিত না করেই, তারা বলেছে।
সাম্প্রতিক আক্রমণটি একটি অবিচ্ছিন্ন প্রচারণার অংশ বলে মনে হচ্ছে যা প্রাথমিকভাবে IP ক্যামেরা এবং/অথবা নেটওয়ার্ক ভিডিও রেকর্ডার (NVR) এবং DVR ডিভাইসগুলির শোষণের মাধ্যমে শুরু হয়েছে, Specter botnet ব্যবহার করে বা শিকারের মধ্যে পাওয়া একটি দুর্বল ওয়ার্ডপ্রেস সার্ভারের মাধ্যমে। পরিবেশ, গবেষকরা বলেছেন।
"SparklingGoblin একটি দীর্ঘ সময় ধরে এই সংস্থাটিকে ক্রমাগত টার্গেট করেছে, একটি প্রিন্ট সার্ভার, একটি ইমেল সার্ভার এবং শিক্ষার্থীদের সময়সূচী এবং কোর্স রেজিস্ট্রেশন পরিচালনা করার জন্য ব্যবহৃত একটি সার্ভার সহ সফলভাবে একাধিক কী সার্ভারের সাথে আপস করেছে," গবেষকরা বলেছেন।
অধিকন্তু, এটি এখন প্রতীয়মান হয় যে স্পেকটার RAT, 360 Netlab-এ গবেষকদের দ্বারা প্রথম নথিভুক্ত করা হয়েছে, এটি আসলে একটি SideWalk Linux বৈকল্পিক, যেমনটি ESET গবেষকদের দ্বারা চিহ্নিত নমুনার মধ্যে একাধিক সাধারণতা দ্বারা দেখানো হয়েছে, তারা বলেছে।
SparklingGoblin এর সাইডওয়াক লিঙ্ক
সাইডওয়াক একটি মডুলার ব্যাকডোর যা তার কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভার থেকে প্রেরিত অতিরিক্ত মডিউলগুলিকে গতিশীলভাবে লোড করতে পারে, Google ডক্সকে ডেড-ড্রপ রেজোলিভার হিসাবে ব্যবহার করে এবং ক্লাউডফ্লেয়ারকে C2 সার্ভার হিসাবে ব্যবহার করে৷ এটি একটি প্রক্সির পিছনে যোগাযোগকে সঠিকভাবে পরিচালনা করতে পারে।
সাইডওয়াক ব্যাকডোরের জন্য কোন হুমকি গোষ্ঠী দায়ী তা নিয়ে গবেষকদের মধ্যে ভিন্ন মত রয়েছে। যখন ESET ম্যালওয়্যারটিকে SparklingGoblin-এর সাথে লিঙ্ক করে, সিম্যানটেকের গবেষকরা বলেছেন এটা Grayfly এর কাজ (ওরফে জিআরইএফ এবং উইকড পান্ডা), একটি চীনা এপিটি কমপক্ষে মার্চ 2017 থেকে সক্রিয়।
ESET বিশ্বাস করে যে SideWalk SparklingGoblin-এর জন্য একচেটিয়া, "SideWalk-এর Linux ভেরিয়েন্ট এবং বিভিন্ন SparklingGoblin টুলের মধ্যে একাধিক কোডের মিল"-এর উপর এই মূল্যায়নের উপর ভিত্তি করে "উচ্চ আত্মবিশ্বাসের" উপর ভিত্তি করে, গবেষকরা বলেছেন। সাইডওয়াক লিনাক্সের একটি নমুনাও একটি C2 ঠিকানা ব্যবহার করে (66.42.103[.]222) যা আগে SparklingGoblin ব্যবহার করেছিল, তারা যোগ করেছে।
সাইডওয়াক এবং ক্রসওয়াক ব্যাকডোর ব্যবহার করার পাশাপাশি, SparklingGoblin Motnug এবং ChaCha20-ভিত্তিক লোডার স্থাপনের জন্যও পরিচিত, প্লাগএক্স RAT (ওরফে কর্প্লাগ), এবং কোবাল্ট স্ট্রাইক এর আক্রমণে।
সাইডওয়াক লিনাক্সের সূচনা
ESET গবেষকরা প্রথম জুলাই 2021-এ SideWalk-এর Linux ভেরিয়েন্টটি নথিভুক্ত করেন, এটিকে "StageClient" বলে ডাকা হয় কারণ তারা তখন SparklingGoblin এবং SideWalk ব্যাকডোরের সাথে Windows এর সংযোগ স্থাপন করেনি।
তারা শেষ পর্যন্ত ম্যালওয়্যারটিকে একটি মডুলার লিনাক্স ব্যাকডোরের সাথে সংযুক্ত করে যেখানে স্পেকটার বটনেট দ্বারা ব্যবহৃত নমনীয় কনফিগারেশনের সাথে উল্লেখ করা হয়েছিল ব্লগ পোস্ট 360 Netlab-এর গবেষকদের দ্বারা, "সমস্ত বাইনারিগুলিতে উপস্থিত কার্যকারিতা, অবকাঠামো এবং প্রতীকগুলির একটি বিশাল ওভারল্যাপ" খুঁজে পেয়েছে, ESET গবেষকরা বলেছেন৷
"এই মিলগুলি আমাদেরকে বোঝায় যে Specter এবং StageClient একই ম্যালওয়্যার পরিবার থেকে এসেছে," তারা যোগ করেছে। প্রকৃতপক্ষে, উভয়ই কেবলমাত্র লিনাক্সের বিভিন্ন সাইডওয়াক, গবেষকরা অবশেষে খুঁজে পেয়েছেন। এই কারণে, উভয়কেই এখন সাইডওয়াক লিনাক্স নামে অভিহিত করা হয়।
প্রকৃতপক্ষে, ক্লাউড পরিষেবা, ভার্চুয়াল মেশিন হোস্ট এবং কন্টেইনার-ভিত্তিক অবকাঠামোর ভিত্তি হিসাবে লিনাক্সের ঘন ঘন ব্যবহার দেওয়া, আক্রমণকারীদের ক্রমবর্ধমান লিনাক্স টার্গেট করা হয় পরিশীলিত শোষণ এবং ম্যালওয়্যার সহ পরিবেশ। এর জন্ম দিয়েছে লিনাক্স ম্যালওয়্যার যা OS-এর জন্য অনন্য বা উইন্ডোজ সংস্করণের পরিপূরক হিসাবে নির্মিত, এটি প্রদর্শন করে যে আক্রমণকারীরা ওপেন সোর্স সফ্টওয়্যারকে লক্ষ্য করার একটি ক্রমবর্ধমান সুযোগ দেখতে পাচ্ছে।
উইন্ডোজ সংস্করণের সাথে তুলনা
এর অংশের জন্য, সাইডওয়াক লিনাক্সের ম্যালওয়্যারের উইন্ডোজ সংস্করণের সাথে অনেক মিল রয়েছে, গবেষকরা তাদের পোস্টে শুধুমাত্র সবচেয়ে "আঘাতজনক"গুলির রূপরেখা দিয়েছেন, গবেষকরা বলেছেন।
একটি সুস্পষ্ট সমান্তরাল হল ChaCha20 এনক্রিপশনের বাস্তবায়ন, উভয় ভেরিয়েন্ট একটি কাউন্টার ব্যবহার করে যার প্রাথমিক মান "0x0B" - একটি বৈশিষ্ট্য পূর্বে ESET গবেষকরা উল্লেখ করেছেন। ChaCha20 কী উভয় ভেরিয়েন্টে হুবহু একই, উভয়ের মধ্যে সংযোগকে শক্তিশালী করে, তারা যোগ করেছে।
SideWalk-এর উভয় সংস্করণই নির্দিষ্ট কাজ সম্পাদন করতে একাধিক থ্রেড ব্যবহার করে। তাদের প্রত্যেকেরই ঠিক পাঁচটি থ্রেড রয়েছে — StageClient::ThreadNetworkReverse, StageClient::ThreadHeartDetect, StageClient::ThreadPollingDriven, ThreadBizMsgSend, এবং StageClient::ThreadBizMsgHandler — নির্দিষ্টভাবে ইটিএস-এর জন্য নির্দিষ্টভাবে কার্য সম্পাদন করার জন্য ইটিএস-এর পদ্ধতি অনুযায়ী কাজ করা হয়েছে।
দুটি সংস্করণের মধ্যে আরেকটি সাদৃশ্য হল যে ডেড-ড্রপ রেজলভার পেলোড - অথবা এমবেডেড ডোমেন বা আইপি ঠিকানা সহ ওয়েব পরিষেবাগুলিতে পোস্ট করা প্রতিকূল বিষয়বস্তু - উভয় নমুনায় অভিন্ন৷ সীমানাকারী - একটি স্ট্রিং-এ একটি উপাদানকে অন্য উপাদান থেকে পৃথক করার জন্য নির্বাচিত অক্ষরগুলি - উভয় সংস্করণেরও অভিন্ন, সেইসাথে তাদের ডিকোডিং অ্যালগরিদম, গবেষকরা বলেছেন।
গবেষকরা সাইডওয়াক লিনাক্স এবং এর উইন্ডোজ প্রতিপক্ষের মধ্যে মূল পার্থক্য খুঁজে পেয়েছেন। একটি হল SideWalk Linux ভেরিয়েন্টে, মডিউলগুলি তৈরি করা হয় এবং C2 সার্ভার থেকে আনা যায় না। অন্যদিকে, উইন্ডোজ সংস্করণে বিল্ট-ইন কার্যকারিতা রয়েছে যা সরাসরি ম্যালওয়্যারের মধ্যে ডেডিকেটেড ফাংশন দ্বারা কার্যকর করা হয়। সাইডওয়াকের উইন্ডোজ সংস্করণে C2 যোগাযোগের মাধ্যমে কিছু প্লাগ-ইন যোগ করা যেতে পারে, গবেষকরা বলেছেন।
প্রতিটি সংস্করণ আলাদাভাবে প্রতিরক্ষা ফাঁকি দেয়, গবেষকরা খুঁজে পেয়েছেন। SideWalk-এর Windows ভেরিয়েন্ট "এর কোডের উদ্দেশ্য লুকিয়ে রাখার জন্য অনেক বেশি পরিশ্রম করে" সমস্ত ডেটা এবং কোডগুলিকে ছাঁটাই করে যা এটি কার্যকর করার জন্য অপ্রয়োজনীয় ছিল, বাকিগুলি এনক্রিপ্ট করে৷
লিনাক্স ভেরিয়েন্টগুলি চিহ্নগুলি ধারণ করে এবং কিছু অনন্য প্রমাণীকরণ কী এবং অন্যান্য নিদর্শনগুলিকে এনক্রিপ্ট না করে রেখে পিছনের দরজার সনাক্তকরণ এবং বিশ্লেষণকে "উল্লেখযোগ্যভাবে সহজ" করে তোলে, গবেষকরা বলেছেন।
"অতিরিক্ত, উইন্ডোজ ভেরিয়েন্টে অনেক বেশি সংখ্যক ইনলাইনড ফাংশন প্রস্তাব করে যে এর কোডটি উচ্চ স্তরের কম্পাইলার অপ্টিমাইজেশনের সাথে কম্পাইল করা হয়েছিল," তারা যোগ করেছে।
