Showboat-haittaohjelma
Kyberturvallisuustutkijat ovat paljastaneet aiemmin dokumentoimattoman Linux-haittaohjelmakehyksen nimeltä Showboat, jota on aktiivisesti käytetty Lähi-idässä toimivaa televiestintäoperaattoria vastaan ainakin vuoden 2022 puolivälistä lähtien. Haittaohjelma toimii modulaarisena jälkihyökkäystyökalupakkina, joka mahdollistaa etäyhteyden komentotulkkiin, tiedostojen siirtämisen ja SOCKS5-välityspalvelimena vaarantuneissa ympäristöissä.
Tietoturva-analyytikot uskovat, että haittaohjelma liittyy yhteen tai useampaan Kiinaan liittyvään uhkaryppääseen. Tutkijat tunnistivat yhteyksiä haittaohjelman komento- ja valvontajärjestelmän (C2) infrastruktuurin ja Kiinan Sichuanin maakunnan pääkaupunkiin Chengduun jäljitettyjen IP-osoitteiden välillä, mikä vahvistaa epäilyksiä Kiinan valtion tukemasta osallisuudesta.
Sisällysluettelo
Yhteydet vakiintuneisiin Kiinaan kytköksissä oleviin uhkaoperaatioihin
Yksi toimintaan liittyvistä ryhmistä on Calypso, joka tunnetaan myös nimillä Bronze Medley ja Red Lamassu. Uhkatoimija on ollut aktiivinen ainakin syyskuusta 2016 lähtien ja on aiemmin kohdistanut iskujaan hallituksen ja institutionaalisiin yksiköihin Brasiliassa, Intiassa, Kazakstanissa, Venäjällä, Thaimaassa ja Turkissa. Ryhmästä tuli julkisuuteen ensimmäisen kerran raportteja vuonna 2019 Positive Technologiesin julkaiseman tutkimuksen kautta.
Calypso on aiemmin luottanut haittaohjelmaperheisiin, kuten PlugX, sekä takaportteihin, kuten WhiteBird ja BYEBY. BYEBY-haittaohjelma kuuluu suurempaan operatiiviseen klusteriin nimeltä Mikroceen, joka on yhdistetty myös SixLittleMonkeys-uhkaklusteriin. Tutkijat havaitsivat myös taktisia yhtäläisyyksiä SixLittleMonkeysin ja toisen Kiinan kanssa liittoutuneen operaation, Webworm, välillä.
Showboatin esiintyminen jaettujen kehysten, kuten PlugX:n, ShadowPadin ja NosyDoorin, rinnalla korostaa laajempaa trendiä Kiinaan keskittyvien uhkatoimijoiden keskuudessa: hyökkäävien kybertyökalujen uudelleenkäyttöä ja levittämistä useiden vakoiluryhmien kesken. Tämä kaava viittaa vahvasti keskitetyn "digitaalisen vartijan" olemassaoloon, joka vastaa haittaohjelmien ja operatiivisten resurssien toimittamisesta valtion tukemille toimijoille.
Edistyneet Linuxin takaporttiominaisuudet herättävät vakavia huolenaiheita
Tutkinta alkoi sen jälkeen, kun tutkijat analysoivat toukokuussa 2025 ladattua ELF-binääritiedostoa, joka alun perin luokiteltiin erittäin edistyneeksi Linux-takaportiksi, jolla on rootkit-tyyppiset toiminnot. Haittaohjelmanäytettä seurataan myös nimellä EvaRAT.
Vaikka tarkka tartuntavektori on edelleen tuntematon, aiemmat Calypso-tunkeutumiset ovat sisältäneet ASPX-verkkokuorten käyttöönottoa haavoittuvuuksien hyödyntämisen tai oletusarvoisten etäkäyttötilien vaarantamisen jälkeen. Ryhmä oli myös yksi ensimmäisistä kiinalaisista uhkatoimijoista, jotka aseistivat CVE-2021-26855:n, Microsoft Exchange Server -haavoittuvuuden, joka muodosti alkuvaiheen pahamaineisessa ProxyLogon-hyökkäysketjussa.
Showboat on suunniteltu muodostamaan yhteys etä-C2-palvelimiin, keräämään yksityiskohtaisia järjestelmätietoja ja lähettämään kerätyt tiedot salatussa ja Base64-koodatussa muodossa piilotettuna PNG-kenttiin. Haittaohjelma tukee myös useita piilotus- ja operatiivisia ominaisuuksia, kuten:
- Tiedostojen lähetys- ja lataustoiminto
- Prosessien salaamistekniikat
- C2-palvelimen hallinta
- Sisäisen verkon skannaus
- SOCKS5-välityspalvelintunnelointi sivuttaisliikettä varten
Välttääkseen havaittavuuden vaarantuneilla isännillä Showboat hakee koodinpätkän Pastebinista, ja tutkijat jäljittävät isännöidyn sisällön 11. tammikuuta 2022 asti. Analyytikot uskovat, että haittaohjelman ensisijainen tavoite on varmistaa pysyvä pääsy kohdeverkkoihin, erityisesti järjestelmiin, jotka ovat eristettyinä suoralta internet-altistumiselta ja joihin pääsee käsiksi vain sisäisten lähiverkkoyhteyksien kautta.
Laajeneva infrastruktuuri paljastaa kansainvälisiä uhreja
Uhkainfrastruktuurin tarkempi tutkimus paljasti useita uhriorganisaatioita useilla eri alueilla. Tutkijat tunnistivat Afganistanissa toimivan internet-palveluntarjoajan ja toisen tunnistamattoman organisaation Azerbaidžanissa. Toissijainen C2-palvelimien klusteri, jolla oli samanlaiset X.509-sertifikaatit, viittasi myös mahdollisiin tietomurtoihin, jotka vaikuttivat Yhdysvaltojen ja Ukrainan toimijoihin.
Jatkuva itsepintaisten haittaohjelmaimplanttien käyttöönotto osoittaa, että vaikka monet uhkatoimijat käyttävät yhä enemmän piilotettuja "omavaraisia" tekniikoita, edistyneet ryhmät luottavat edelleen vahvasti räätälöityihin takaportteihin pitkäaikaisen pääsyn ja toiminnan hallinnan varmistamiseksi. Tietoturva-asiantuntijat varoittavat, että Showboatin kaltaisten haittaohjelmien löytymistä tulisi pitää kriittisenä merkkinä mahdollisesta laajemmasta tietomurrosta kyseisissä verkoissa.
JFMBackdoor laajentaa kampanjaansa Linux-järjestelmien ulkopuolelle
Showboatin lisäksi tutkijat havaitsivat Calypson asentavan täysin varustellun Windows-haittaohjelmaimplantin, joka tunnetaan nimellä JFMBackdoor, Afganistanin televiestintäsektoriin kohdistuneiden hyökkäysten aikana. Haittaohjelma toimitetaan DLL-sivulatauksen kautta, tekniikalla, joka väärinkäyttää laillisia sovelluksia ladatakseen haitallisia dynaamisia linkkikirjastoja.
Tartuntaketju alkaa eräajokomentosarjalla, joka käynnistää luotettavan suoritettavan tiedoston, joka puolestaan lataa haitallisen DLL-hyötytiedoston. Kun JFMBackdoor on aktiivinen, se tarjoaa hyökkääjille laajan operatiivisen hallinnan vaarantuneisiin järjestelmiin. Sen toimintoihin kuuluvat:
- Etäkuoren suorittaminen
- Tiedostonhallintatoiminnot
- Verkkovälityspalvelimen ominaisuudet
- Kuvakaappaus
- Itsepoistomekanismit
Keskittyminen Afganistaniin ja sen televiestintäinfrastruktuuriin on läheisessä linjassa aiemmin Red Lamassu -operaatioihin liitettyjen laajempien strategisten tavoitteiden kanssa ja vahvistaa arvioita, joiden mukaan kampanja on osa laajempaa kybervakoilua, joka on kytköksissä Kiinan uhkatoimintaan.
