Showboat pahavara
Küberturvalisuse uurijad on avastanud varem dokumenteerimata Linuxi pahavara raamistiku, mida tuntakse kui Showboat ja mida on aktiivselt kasutatud Lähis-Ida telekommunikatsioonifirma vastu vähemalt alates 2022. aasta keskpaigast. Pahavara toimib modulaarse järelkasutuse tööriistakomplektina, mis on võimeline võimaldama kaugjuurdepääsu shellile, edastama faile ja toimima SOCKS5 puhverserverina ohustatud keskkondades.
Turvaanalüütikud usuvad, et pahavara on seotud ühe või mitme Hiinaga seotud ohuklastriga. Uurijad tuvastasid seoseid pahavara juhtimis- ja kontrollisüsteemi (C2) infrastruktuuri ja Hiina Sichuani provintsi pealinna Chengdusse viivate IP-aadresside vahel, mis tugevdab kahtlusi Hiina riigi toetatud seotuses.
Sisukord
Seosed väljakujunenud Hiinaga seotud ohuoperatsioonidega
Üks tegevusega seostatud rühmitustest on Calypso, tuntud ka kui Bronze Medley ja Red Lamassu. See ohurühmitus on tegutsenud vähemalt 2016. aasta septembrist alates ning on ajalooliselt sihikule võtnud valitsus- ja institutsionaalseid üksusi Brasiilias, Indias, Kasahstanis, Venemaal, Tais ja Türgis. Avalikkuse teade rühmituse kohta ilmus esmakordselt 2019. aastal Positive Technologiesi avaldatud uuringu kaudu.
Calypso on varem toetunud pahavaraperekondadele nagu PlugX, koos tagaustega nagu WhiteBird ja BYEBY. BYEBY pahavara kuulub suuremasse operatiivklastrisse, mida nimetatakse Mikroceeniks ja mis on seostatud ka SixLittleMonkeysi ohuklastriga. Teadlased täheldasid lisaks taktikalisi sarnasusi SixLittleMonkeysi ja teise Hiinaga seotud operatsiooni Webworm vahel.
Showboati ilmumine koos jagatud raamistikega nagu PlugX, ShadowPad ja NosyDoor toob esile laiema trendi Hiina-kesksete ohutegelaste seas: solvavate kübertööriistade taaskasutamine ja levitamine mitmete spionaažirühmituste vahel. See muster viitab tugevalt tsentraliseeritud „digitaalse kvartermeistri“ olemasolule, kes vastutab pahavara ja operatiivressursside pakkumise eest riigi toetatud operaatoritele.
Täiustatud Linuxi tagaukse võimalused tekitavad tõsiseid probleeme
Uurimine algas pärast seda, kui teadlased analüüsisid 2025. aasta mais üles laaditud ELF-binaarfaili, mis algselt liigitati rootkit-laadse funktsionaalsusega ülitäpseks Linuxi tagaukseks. Pahavara näidist jälgitakse ka nime EvaRAT all.
Kuigi täpne nakkusvektor on teadmata, on varasemad Calypso sissetungid hõlmanud ASPX-i veebikestade kasutuselevõttu pärast haavatavuste ärakasutamist või vaikimisi kaugjuurdepääsu kontode ohtu seadmist. Grupp oli ka üks esimesi Hiina ohurühmitusi, kes relvastas CVE-2021-26855, Microsoft Exchange Serveri vea, mis moodustas kurikuulsa ProxyLogoni ärakasutamise ahela algfaasi.
Showboat on loodud looma sidet kaug-C2 serveritega, koguma üksikasjalikku süsteemiteavet ja edastama kogutud andmeid krüpteeritud ja Base64-kodeeringus PNG-väljade sisse peidetud kujul. Pahavara toetab ka mitmeid varjatud ja operatiivseid funktsioone, sealhulgas:
- Failide üles- ja allalaadimise funktsioon
- Protsessi varjamise tehnikad
- C2 serveri haldus
- Sisevõrgu skannimine
- SOCKS5 puhverserveri tunneldamine külgliikumiseks
Ohustatud hostidel avastamise vältimiseks hangib Showboat Pastebinist koodilõigu, kusjuures teadlased jälgivad hostitud sisu kuni 11. jaanuarini 2022. Analüütikute arvates on pahavara peamine eesmärk kindlustada püsiv juurdepääs sihtvõrkudes, eriti süsteemides, mis on otsesest internetiühendusest eraldatud ja millele pääseb ligi ainult sisemiste kohtvõrguühenduste kaudu.
Laienev infrastruktuur paljastab rahvusvahelisi ohvreid
Ohuinfrastruktuuri edasine uurimine paljastas mitu ohvriks langenud organisatsiooni, mis ulatuvad mitmesse piirkonda. Teadlased tuvastasid Afganistanis asuva internetiteenuse pakkuja ja täiendava tuvastamata organisatsiooni Aserbaidžaanis. Sarnaseid X.509 sertifikaate jagavate C2-serverite teine klaster viitas samuti võimalikele ohtudele, mis mõjutasid üksusi Ameerika Ühendriikides ja Ukrainas.
Püsivate pahavara implantaatide jätkuv juurutamine näitab, et hoolimata sellest, et paljud ohutegijad kasutavad üha enam varjatud ja omakasupüüdlikumaid tehnikaid, toetuvad edasijõudnud rühmitused pikaajalise juurdepääsu ja operatiivse kontrolli tagamiseks endiselt suuresti kohandatud tagaustele. Turbeeksperdid hoiatavad, et sellise pahavara nagu Showboat avastamist tuleks käsitleda kui kriitilist näitajat potentsiaalselt laiemast kompromiteerimisest mõjutatud võrkudes.
JFMBackdoor laiendab kampaaniat Linuxi süsteemidest kaugemale
Lisaks Showboatile täheldasid teadlased, et Calypso juurutas Afganistani telekommunikatsioonisektorile suunatud rünnakute ajal täisfunktsionaalse Windowsi pahavara implantaadi, mida tuntakse nime all JFMBackdoor. Pahavara edastatakse DLL-i külglaadimise kaudu, mis on tehnika, mis kuritarvitab legitiimseid rakendusi pahatahtlike dünaamiliste linkide teekide laadimiseks.
Nakatumise ahel algab partiiskriptiga, mis käivitab usaldusväärse käivitatava faili, mis seejärel laadib pahatahtliku DLL-faili. Kui JFMBackdoor on aktiivne, annab see ründajatele ulatusliku operatiivse kontrolli ohustatud süsteemide üle. Selle funktsionaalsus hõlmab järgmist:
- Kaugkesta käivitamine
- Failihalduse toimingud
- Võrgu puhverserveri võimalused
- Ekraanipildi jäädvustamine
- Enese eemaldamise mehhanismid
Keskendumine Afganistanile ja selle telekommunikatsioonitaristule on tihedalt seotud laiemate strateegiliste eesmärkidega, mis olid varem seotud Punase Lamassu operatsioonidega, kinnitades hinnanguid, et kampaania on osa laiemast küberspionaaži pingutusest, mis on seotud Hiina ohutegevusega.
