WolfsBane Backdoor
चीन से जुड़े एडवांस्ड पर्सिस्टेंट थ्रेट (APT) समूह गेलसेमियम को वुल्फ्सबेन नामक एक नए लिनक्स बैकडोर से जोड़ा गया है। इस उपकरण का उपयोग कथित तौर पर पूर्वी और दक्षिण-पूर्व एशिया को लक्षित करने वाले साइबर ऑपरेशनों में किया जा रहा है, जो समूह की रणनीति में एक महत्वपूर्ण बदलाव को दर्शाता है।
विषयसूची
WolfsBane: जेल्सेविरिन का एक लिनक्स अनुकूलन
माना जाता है कि वुल्फ़्सबेन, जेल्सेविरिन का लिनक्स संस्करण है, जो एक बैकडोर है जिसे 2014 से विंडोज सिस्टम पर इस्तेमाल किया जा रहा है। वुल्फ़्सबेन के साथ-साथ, शोधकर्ताओं ने एक और पहले से अज्ञात इम्प्लांट, फायरवुड की पहचान की है, जो प्रोजेक्ट वुड नामक एक अलग मैलवेयर सूट से जुड़ा हुआ है। हालाँकि फायरवुड को अस्थायी रूप से जेल्सेमियम के लिए जिम्मेदार ठहराया गया है, लेकिन विशेषज्ञों का सुझाव है कि इसे चीन से जुड़े कई हैकिंग समूहों में भी साझा किया जा सकता है।
इन बैकडोर को सिस्टम विवरण, क्रेडेंशियल्स और फ़ाइलों सहित संवेदनशील डेटा को इकट्ठा करके साइबर जासूसी करने के लिए डिज़ाइन किया गया है। वे लक्षित सिस्टम तक दीर्घकालिक पहुँच भी बनाए रखते हैं, जिससे गुप्त संचालन और लंबे समय तक खुफिया जानकारी एकत्र करना संभव हो जाता है।
अनिश्चित प्रारंभिक पहुंच और परिष्कृत तकनीकें
प्रारंभिक पहुँच प्राप्त करने के लिए इस्तेमाल की गई विशिष्ट विधि अभी भी अस्पष्ट है। हालाँकि, यह संदेह है कि गेलसेमियम ने वेब शेल स्थापित करने के लिए एक अनपैच किए गए वेब एप्लिकेशन भेद्यता का फायदा उठाया, जिसका उपयोग ड्रॉपर के माध्यम से वुल्फ्सबेन बैकडोर को वितरित करने के लिए किया गया था।
वुल्फ़्सबेन लिनक्स सिस्टम पर अपनी गतिविधियों को छिपाने के लिए संशोधित ओपन-सोर्स BEURK रूटकिट का उपयोग करता है जबकि रिमोट सर्वर से कमांड निष्पादित करता है। इसी तरह, फायरवुड प्रक्रियाओं को छिपाने और चुपके से कमांड निष्पादित करने के लिए usbdev.ko नामक कर्नेल-स्तरीय रूटकिट मॉड्यूल का उपयोग करता है।
जेल्सेमियम द्वारा पहला लिनक्स मैलवेयर अभियान
वुल्फ्सबेन और फायरवुड का उपयोग, जेलसेमियम द्वारा लिनक्स-आधारित मैलवेयर की पहली प्रलेखित तैनाती का प्रतिनिधित्व करता है, जो उनके लक्ष्यीकरण फोकस में बदलाव का संकेत देता है। यह विकास समूह की अनुकूलनशीलता और अपनी परिचालन पहुंच का विस्तार करने में रुचि को उजागर करता है।
एपीटी परिदृश्य में लिनक्स सिस्टम पर बढ़ता ध्यान
जेल्सेमियम जैसे ख़तरनाक तत्वों द्वारा लिनक्स सिस्टम का बढ़ता उपयोग APT पारिस्थितिकी तंत्र में व्यापक रुझानों को दर्शाता है। जैसे-जैसे संगठन ईमेल और एंडपॉइंट डिटेक्शन तकनीकों के साथ अपने बचाव को बढ़ाते हैं, जिसमें Microsoft द्वारा VBA मैक्रोज़ को डिफ़ॉल्ट रूप से अक्षम करना और एंडपॉइंट डिटेक्शन और रिस्पॉन्स (EDR) समाधानों को अपनाना शामिल है, हमलावर वैकल्पिक प्लेटफ़ॉर्म की ओर रुख कर रहे हैं।
लिनक्स वातावरण को रणनीतिक रूप से लक्ष्यित करने से मजबूत, बहुस्तरीय सुरक्षा उपायों की आवश्यकता पर बल मिलता है, जो ऐसे उन्नत खतरों का पता लगाने और उन्हें कम करने में सक्षम हों।
