سائیڈ واک بیک ڈور کا ایک نیا لینکس ورژن ہانگ کانگ کی ایک یونیورسٹی کے خلاف مسلسل حملے میں تعینات کیا گیا ہے جس نے ادارے کے نیٹ ورک کے ماحول کی کلیدی متعدد سرورز سے سمجھوتہ کیا ہے۔
ESET کے محققین نے حملے اور پچھلے دروازے کو SparklingGoblin سے منسوب کیا، جو کہ ایک ایڈوانسڈ پرسسٹنٹ خطرہ (APT) گروپ ہے جو زیادہ تر مشرقی اور جنوب مشرقی ایشیا میں تنظیموں کو نشانہ بناتا ہے، جس میں تعلیمی شعبے پر توجہ دی جاتی ہے، انہوں نے ایک بیان میں کہا۔ بلاگ پوسٹ 14 ستمبر کو شائع ہوا۔
محققین نے کہا کہ اے پی ٹی کو دنیا بھر کی تنظیموں اور عمودی صنعتوں کی ایک وسیع رینج پر حملوں سے بھی جوڑا گیا ہے، اور یہ اپنے مالویئر کے ہتھیاروں میں سائیڈ واک اور کراس واک بیک ڈور استعمال کرنے کے لیے جانا جاتا ہے۔
درحقیقت، ہانگ کانگ یونیورسٹی پر حملہ دوسری بار ہے جب SparklingGoblin نے اس مخصوص ادارے کو نشانہ بنایا ہے۔ پہلا مئی 2020 میں طلباء کے احتجاج کے دوران تھا، ESET محققین کے ساتھ پہلے لینکس ویرینٹ کا پتہ لگانا انہوں نے کہا کہ فروری 2021 میں یونیورسٹی کے نیٹ ورک میں سائڈ واک کی حقیقت میں اس کی شناخت کیے بغیر۔
ایسا لگتا ہے کہ تازہ ترین حملہ ایک مسلسل مہم کا حصہ ہے جو ابتدائی طور پر IP کیمروں اور/یا نیٹ ورک ویڈیو ریکارڈر (NVR) اور DVR ڈیوائسز کے استحصال کے ساتھ شروع ہوا ہو، سپیکٹر بوٹ نیٹ کا استعمال کرتے ہوئے یا متاثرہ شخص میں پائے جانے والے کمزور ورڈپریس سرور کے ذریعے۔ ماحولیات، محققین نے کہا.
"SparklingGoblin نے ایک طویل عرصے کے دوران اس تنظیم کو مسلسل نشانہ بنایا ہے، کامیابی کے ساتھ متعدد کلیدی سرورز سے سمجھوتہ کیا ہے، بشمول ایک پرنٹ سرور، ایک ای میل سرور، اور ایک سرور جو طلباء کے نظام الاوقات اور کورس کی رجسٹریشن کو منظم کرنے کے لیے استعمال کیا جاتا ہے،" محققین نے کہا۔
اس کے علاوہ، اب یہ ظاہر ہوتا ہے کہ سپیکٹر RAT، جو سب سے پہلے 360 Netlab کے محققین کے ذریعہ دستاویز کیا گیا، دراصل ایک SideWalk Linux کی مختلف شکل ہے، جیسا کہ ESET محققین کے ذریعہ شناخت کردہ نمونے کے درمیان متعدد مشترکات سے ظاہر ہوتا ہے، انہوں نے کہا۔
SparklingGoblin سے سائیڈ واک لنکس
سائیڈ واک ایک ماڈیولر بیک ڈور ہے جو اپنے کمانڈ اینڈ کنٹرول (C2) سرور سے بھیجے گئے اضافی ماڈیولز کو متحرک طور پر لوڈ کر سکتا ہے، Google Docs کو ڈیڈ ڈراپ ریزولور کے طور پر استعمال کرتا ہے، اور Cloudflare کو C2 سرور کے طور پر استعمال کرتا ہے۔ یہ پراکسی کے پیچھے مواصلت کو بھی مناسب طریقے سے سنبھال سکتا ہے۔
سائڈ واک بیک ڈور کے لیے کون سا خطرہ گروپ ذمہ دار ہے اس بارے میں محققین کے درمیان مختلف آراء ہیں۔ جبکہ ESET مالویئر کو SparklingGoblin سے جوڑتا ہے، Symantec میں محققین کہا یہ ہے گرے فلائی کا کام (عرف GREF اور Wicked Panda)، ایک چینی APT جو کم از کم مارچ 2017 سے فعال ہے۔
ESET کا خیال ہے کہ SideWalk SparklingGoblin کے لیے مخصوص ہے، اس تشخیص میں اس کے "اعلی اعتماد" کی بنیاد پر "SideWalk کے لینکس کی مختلف حالتوں اور SparklingGoblin کے مختلف ٹولز کے درمیان متعدد کوڈ مماثلتیں،" محققین نے کہا۔ انہوں نے مزید کہا کہ سائیڈ واک لینکس کے نمونوں میں سے ایک C2 ایڈریس (66.42.103[.]222) بھی استعمال کرتا ہے جو اس سے پہلے SparklingGoblin استعمال کرتا تھا۔
سائیڈ واک اور کراس واک بیک ڈور استعمال کرنے کے علاوہ، SparklingGoblin Motnug اور ChaCha20 پر مبنی لوڈرز کی تعیناتی کے لیے بھی جانا جاتا ہے، پلگ ایکس RAT (عرف کورپلگ)، اور اس کے حملوں میں کوبالٹ اسٹرائیک۔
سائیڈ واک لینکس کا آغاز
ESET کے محققین نے پہلی بار جولائی 2021 میں سائیڈ واک کے لینکس ویرینٹ کو دستاویزی شکل دی، اسے "StageClient" کا نام دیا کیونکہ اس وقت انہوں نے SparklingGoblin اور SideWalk بیک ڈور سے ونڈوز کے لیے رابطہ نہیں بنایا تھا۔
They eventually linked the malware to a modular Linux backdoor with flexible configuration being used by the Specter botnet that was mentioned in a بلاگ پوسٹ by researchers at 360 Netlab, finding “a huge overlap in functionality, infrastructure, and symbols present in all the binaries,” the ESET researchers said.
"یہ مماثلتیں ہمیں اس بات پر قائل کرتی ہیں کہ Specter اور StageClient ایک ہی میلویئر فیملی سے ہیں،" انہوں نے مزید کہا۔ درحقیقت، دونوں سائیڈ واک کے مختلف لینکس ہیں، محققین نے آخر کار پایا۔ اس وجہ سے، دونوں کو اب چھتری کی اصطلاح SideWalk Linux کے تحت کہا جاتا ہے۔
درحقیقت، کلاؤڈ سروسز، ورچوئل مشین ہوسٹس، اور کنٹینر پر مبنی انفراسٹرکچر کی بنیاد کے طور پر لینکس کے کثرت سے استعمال کو دیکھتے ہوئے، حملہ آور لینکس کو تیزی سے نشانہ بنا رہے ہیں۔ نفیس کارناموں اور مالویئر کے ساتھ ماحول۔ اس نے جنم دیا ہے۔ لینکس میلویئر جو کہ OS کے لیے منفرد ہے یا ونڈوز ورژن کے لیے ایک تکمیلی کے طور پر بنایا گیا ہے، یہ ظاہر کرتا ہے کہ حملہ آور اوپن سورس سافٹ ویئر کو نشانہ بنانے کا بڑھتا ہوا موقع دیکھ رہے ہیں۔
ونڈوز ورژن سے موازنہ
محققین نے کہا کہ اس کے حصے کے لیے، سائیڈ واک لینکس میں میلویئر کے ونڈوز ورژن سے بے شمار مماثلتیں ہیں، محققین نے اپنی پوسٹ میں صرف سب سے زیادہ "حیرت انگیز" کا خاکہ پیش کیا ہے۔
ایک واضح متوازی ChaCha20 انکرپشن کا نفاذ ہے، جس میں دونوں قسمیں "0x0B" کی ابتدائی قدر کے ساتھ کاؤنٹر کا استعمال کرتی ہیں - ایک خصوصیت جو پہلے ESET محققین نے نوٹ کی تھی۔ انہوں نے مزید کہا کہ ChaCha20 کلید دونوں قسموں میں بالکل ایک جیسی ہے، جو دونوں کے درمیان تعلق کو مضبوط کرتی ہے۔
SideWalk کے دونوں ورژن مخصوص کاموں کو انجام دینے کے لیے متعدد دھاگوں کا بھی استعمال کرتے ہیں۔ ان میں سے ہر ایک کے پاس بالکل پانچ تھریڈز ہیں — StageClient::ThreadNetworkReverse، StageClient::ThreadHeartDetect، StageClient::ThreadPollingDriven، ThreadBizMsgSend، اور StageClient::ThreadBizMsgHandler — ہر ایک کو مخصوص طریقے سے انجام دینے کے لیے ای ٹی کے مطابق، مخصوص طریقے سے انجام دینے کے لیے۔
دونوں ورژنز کے درمیان ایک اور مماثلت یہ ہے کہ ڈیڈ ڈراپ ریزولور پے لوڈ — یا ایمبیڈڈ ڈومینز یا IP ایڈریس کے ساتھ ویب سروسز پر پوسٹ کیا گیا مخالف مواد — دونوں نمونوں میں یکساں ہے۔ محققین نے کہا کہ حد بندی کرنے والے - حروف جو ایک سٹرنگ میں ایک عنصر کو دوسرے عنصر سے الگ کرنے کے لیے منتخب کیے گئے ہیں - دونوں ورژن کے بھی ایک جیسے ہیں، اور ساتھ ہی ان کے ڈی کوڈنگ الگورتھم بھی، محققین نے کہا۔
محققین نے سائیڈ واک لینکس اور اس کے ونڈوز ہم منصب کے درمیان اہم فرق بھی پایا۔ ایک یہ کہ سائیڈ واک لینکس کی مختلف حالتوں میں، ماڈیولز بنائے گئے ہیں اور انہیں C2 سرور سے حاصل نہیں کیا جا سکتا۔ دوسری طرف، ونڈوز ورژن میں بلٹ ان فنکشنلٹیز ہیں جو میلویئر کے اندر مخصوص فنکشنز کے ذریعے براہ راست انجام دی جاتی ہیں۔ محققین نے کہا کہ سائیڈ واک کے ونڈوز ورژن میں سی2 کمیونیکیشنز کے ذریعے کچھ پلگ ان بھی شامل کیے جا سکتے ہیں۔
محققین نے پایا کہ ہر ورژن دفاعی چوری کو مختلف طریقے سے انجام دیتا ہے۔ سائیڈ واک کا ونڈوز ویرینٹ "اپنے کوڈ کے مقاصد کو چھپانے کے لیے بڑی حد تک جاتا ہے" تمام ڈیٹا اور کوڈ کو تراش کر جو اس کے نفاذ کے لیے غیر ضروری تھا، باقی کو خفیہ کر کے۔
محققین نے کہا کہ لینکس کی مختلف حالتیں علامتوں پر مشتمل اور کچھ منفرد تصدیقی کلیدوں اور دیگر نمونوں کو غیر خفیہ کردہ چھوڑ کر پچھلے دروازے کی کھوج اور تجزیہ کو "نمایاں طور پر آسان" بناتی ہیں۔
انہوں نے مزید کہا کہ "اس کے علاوہ، ونڈوز ویرینٹ میں ان لائن فنکشنز کی بہت زیادہ تعداد سے پتہ چلتا ہے کہ اس کا کوڈ کمپائلر آپٹیمائزیشن کے اعلی درجے کے ساتھ مرتب کیا گیا تھا۔"
