KTLVdoor बैकडोर

अर्थ लुस्का नामक चीनी भाषी खतरनाक समूह को चीन में एक अज्ञात व्यापारिक कंपनी के खिलाफ साइबर हमले में KTLVdoor नामक एक नया बैकडोर तैनात करते हुए पाया गया है। गोलांग में विकसित इस नए मैलवेयर को क्रॉस-प्लेटफॉर्म के लिए डिज़ाइन किया गया है, जो माइक्रोसॉफ्ट विंडोज और लिनक्स दोनों सिस्टम को लक्षित करता है।

KTLVdoor में भारी अस्पष्टता है और यह खुद को विभिन्न सिस्टम उपयोगिताओं के रूप में छिपाता है। यह हमलावरों को फ़ाइल हेरफेर, कमांड निष्पादन और रिमोट पोर्ट स्कैनिंग सहित कई दुर्भावनापूर्ण गतिविधियाँ करने की अनुमति देता है।

वैध उपकरणों का प्रतिरूपण करना

KTLVdoor कई उपकरणों के रूप में काम करता है, जिसमें sshd, Java, SQLite, bash और edr-agent आदि शामिल हैं। मैलवेयर को डायनेमिक-लिंक लाइब्रेरी (.dll) या शेयर्ड ऑब्जेक्ट (.so) के रूप में वितरित किया जाता है।

इस गतिविधि का एक उल्लेखनीय पहलू 50 से अधिक कमांड-एंड-कंट्रोल (C&C) सर्वरों की पहचान है, जो सभी चीनी कंपनी अलीबाबा द्वारा होस्ट किए जाते हैं। इन सर्वरों को विभिन्न मैलवेयर वेरिएंट से जोड़ा गया है, जो अन्य चीनी खतरे वाले अभिनेताओं के साथ साझा बुनियादी ढांचे की संभावना का सुझाव देता है।

कई वर्षों से सक्रिय हैं धमकी देने वाले तत्व

अर्थ लुस्का कम से कम 2021 से सक्रिय है, जो एशिया, ऑस्ट्रेलिया, यूरोप और उत्तरी अमेरिका में सार्वजनिक और निजी क्षेत्र के संस्थानों को निशाना बनाकर साइबर हमले कर रहा है। माना जाता है कि इस समूह में रेडहोटल और APT27 (जिन्हें बडवॉर्म, एमिसरी पांडा और आयरन टाइगर भी कहा जाता है) के रूप में जाने जाने वाले अन्य घुसपैठ समूहों के साथ कुछ सामरिक समानताएं हैं।

समूह का नवीनतम मैलवेयर, KTLVdoor, अत्यधिक अस्पष्ट है। इसका नाम इसकी कॉन्फ़िगरेशन फ़ाइल में पाए जाने वाले 'KTLV' नामक मार्कर से लिया गया है, जिसमें इसके संचालन के लिए आवश्यक विभिन्न पैरामीटर शामिल हैं, जैसे कि कमांड-एंड-कंट्रोल (C&C) सर्वर जिनसे यह जुड़ता है।

अभी भी बहुत कुछ अज्ञात है

एक बार सक्रिय होने के बाद, मैलवेयर बार-बार कमांड-एंड-कंट्रोल (C&C) सर्वर से संपर्क करता है, और संक्रमित सिस्टम पर निष्पादित करने के लिए आगे के निर्देशों की प्रतीक्षा करता है। यह विभिन्न कमांड का समर्थन करता है, जिसमें फ़ाइलों को डाउनलोड करना और अपलोड करना, फ़ाइल सिस्टम की गणना करना, एक इंटरैक्टिव शेल लॉन्च करना, शेलकोड चलाना और स्कैनटीसीपी, स्कैनआरडीपी, डायलटीएलएस, स्कैनपिंग और स्कैनवेब जैसे उपकरणों का उपयोग करके स्कैन करना शामिल है।

हालाँकि, यह विवरण अभी भी अस्पष्ट है कि मैलवेयर किस प्रकार वितरित किया जाता है तथा क्या इसका उपयोग विश्व भर में अन्य लक्ष्यों के विरुद्ध किया गया है।

जबकि अर्थ लुस्का इस नए उपकरण का उपयोग करता है, ऐसी संभावना है कि इसका उपयोग अन्य चीनी-भाषी खतरा पैदा करने वाले अभिनेताओं द्वारा भी किया जा सकता है। तथ्य यह है कि सभी C&C सर्वर अलीबाबा, एक चीनी प्रदाता के आईपी पते पर होस्ट किए गए थे, जिससे शोधकर्ताओं ने अनुमान लगाया है कि मैलवेयर और इसका C&C इंफ्रास्ट्रक्चर नए उपकरणों के लिए शुरुआती परीक्षण चरण का हिस्सा हो सकता है।

पीछे से दी गई धमकियों से पीड़ितों को गंभीर परिणाम भुगतने पड़ते हैं

बैकडोर मैलवेयर गंभीर खतरे पैदा करता है क्योंकि यह हमलावरों को सामान्य सुरक्षा उपायों को दरकिनार करते हुए, समझौता किए गए सिस्टम तक अनधिकृत, गुप्त पहुँच प्रदान करता है। बैकडोर मैलवेयर से जुड़े कुछ सबसे महत्वपूर्ण खतरों में शामिल हैं:

• लगातार नियंत्रण : बैकडोर हमलावरों को सिस्टम तक लंबे समय तक पहुंच बनाए रखने की अनुमति देते हैं, अक्सर बिना पता लगाए। यह लगातार पहुंच हमलावरों को समय के साथ सिस्टम की लगातार निगरानी और हेरफेर करने में सक्षम बनाती है, जिससे खतरे को दूर करना मुश्किल हो जाता है।
• डेटा चोरी : हमलावर वित्तीय डेटा, बौद्धिक संपदा, लॉगिन क्रेडेंशियल और गोपनीय संचार जैसी संवेदनशील जानकारी प्राप्त कर सकते हैं। इस एकत्रित डेटा को बेचा जा सकता है, धोखाधड़ी के लिए इस्तेमाल किया जा सकता है या पहचान की चोरी या जासूसी सहित अन्य हमलों को जन्म दिया जा सकता है।
• नेटवर्क शोषण : एक बार अंदर जाने के बाद, एक बैकडोर मैलवेयर पूरे नेटवर्क में फैल सकता है, अन्य डिवाइस को संक्रमित कर सकता है और हमले के दायरे का विस्तार कर सकता है। इससे पूरा नेटवर्क समझौता हो सकता है, जिससे हमलावर एक साथ कई सिस्टम को नियंत्रित कर सकते हैं।
• अन्य मैलवेयर की डिलीवरी : बैकडोर का उपयोग अतिरिक्त मैलवेयर, जैसे रैनसमवेयर, स्पाइवेयर या कीलॉगर्स के लिए डिलीवरी तंत्र के रूप में किया जा सकता है, जो आगे की क्षति और व्यवधान पैदा कर सकता है।
• सिस्टम में हेरफेर और तोड़फोड़ : हमलावर संक्रमित सिस्टम पर कमांड निष्पादित कर सकते हैं, कॉन्फ़िगरेशन बदल सकते हैं, फ़ाइलों को हटा या दूषित कर सकते हैं, सुरक्षा उपकरणों को अक्षम कर सकते हैं और महत्वपूर्ण सेवाओं को बाधित कर सकते हैं। औद्योगिक या सरकारी प्रणालियों के मामलों में, इससे गंभीर परिचालन या बुनियादी ढांचे को नुकसान हो सकता है।
• रिमोट मॉनिटरिंग और कंट्रोल : बैकडोर मैलवेयर हमलावरों को चुपचाप गतिविधियों की निगरानी करने, कीस्ट्रोक्स रिकॉर्ड करने, स्क्रीनशॉट कैप्चर करने और उपयोगकर्ता के व्यवहार को लॉग करने की अनुमति देता है। निगरानी का यह स्तर सुरक्षा नीतियों से समझौता कर सकता है और हमलावर को बिना पता लगाए कमजोरियों का फायदा उठाने की अनुमति देता है।
• विशेषाधिकारों में वृद्धि : हमलावर अक्सर सिस्टम पर अपने विशेषाधिकारों को बढ़ाने के लिए बैकडोर का उपयोग करते हैं, जिससे उन्हें पूर्ण प्रशासनिक नियंत्रण मिल जाता है। इससे उन्हें सुरक्षा प्रोटोकॉल को बायपास करने की अनुमति मिलती है, जिससे वैध उपयोगकर्ताओं या सुरक्षा टीमों के लिए नियंत्रण हासिल करना लगभग असंभव हो जाता है।

संक्षेप में, बैकडोर मैलवेयर एक गंभीर खतरा है, क्योंकि यह हमलावरों को सिस्टम तक दीर्घकालिक, गुप्त पहुंच प्रदान करता है, जिससे वे डेटा चुरा सकते हैं, मैलवेयर फैला सकते हैं, परिचालन में हेरफेर कर सकते हैं, तथा सम्पूर्ण नेटवर्क से समझौता कर सकते हैं, तथा इनका पता लगाना और उन्मूलन करना कठिन बना रहता है।