ஷோபோட் மால்வேர்

சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள், ஷோபோட் (Showboat) எனப்படும், இதுவரை ஆவணப்படுத்தப்படாத ஒரு லினக்ஸ் தீம்பொருள் கட்டமைப்பைக் கண்டறிந்துள்ளனர். இது குறைந்தபட்சம் 2022-ஆம் ஆண்டின் நடுப்பகுதியிலிருந்து மத்திய கிழக்கில் உள்ள ஒரு தொலைத்தொடர்பு நிறுவனத்திற்கு எதிராகத் தீவிரமாகப் பயன்படுத்தப்பட்டு வந்துள்ளது. இந்தத் தீம்பொருள், பாதிக்கப்பட்ட சூழல்களில் தொலைநிலை ஷெல் அணுகலைச் செயல்படுத்துதல், கோப்புகளைப் பரிமாற்றுதல் மற்றும் SOCKS5 ப்ராக்ஸியாகச் செயல்படுதல் போன்ற திறன்களை வழங்கும் ஒரு மாடுலர் போஸ்ட்-எக்ஸ்ப்ளாய்டேஷன் கருவித்தொகுப்பாக இயங்குகிறது.

இந்த மால்வேர், ஒன்று அல்லது அதற்கு மேற்பட்ட சீனாவுடன் தொடர்புடைய அச்சுறுத்தல் குழுக்களுடன் இணைக்கப்பட்டுள்ளதாகப் பாதுகாப்பு ஆய்வாளர்கள் நம்புகின்றனர். சீனாவின் சிச்சுவான் மாகாணத்தின் தலைநகரான செங்டுவைச் சேர்ந்த ஐபி முகவரிகளுக்கும், மால்வேரின் கட்டளை மற்றும் கட்டுப்பாட்டு (C2) உள்கட்டமைப்புக்கும் இடையே உள்ள தொடர்புகளைப் புலனாய்வாளர்கள் அடையாளம் கண்டுள்ளனர். இது, சீன அரசின் ஆதரவுடன் இதில் தொடர்பு இருக்கலாம் என்ற சந்தேகங்களை வலுப்படுத்துகிறது.

நிறுவப்பட்ட சீனாவுடன் தொடர்புடைய அச்சுறுத்தல் நடவடிக்கைகளுடனான தொடர்புகள்

இந்தச் செயல்பாட்டுடன் தொடர்புடைய குழுக்களில் ஒன்று கலிப்சோ ஆகும், இது பிரான்ஸ் மெட்லி மற்றும் ரெட் லமாசு என்றும் அறியப்படுகிறது. இந்த அச்சுறுத்தல் குழு குறைந்தது செப்டம்பர் 2016 முதல் செயல்பட்டு வருகிறது, மேலும் வரலாற்று ரீதியாக பிரேசில், இந்தியா, கஜகஸ்தான், ரஷ்யா, தாய்லாந்து மற்றும் துருக்கி ஆகிய நாடுகளில் உள்ள அரசாங்கம் மற்றும் நிறுவனங்களைக் குறிவைத்துள்ளது. இந்தக் குழுவைப் பற்றிய பொது அறிக்கை, 2019-ல் பாசிட்டிவ் டெக்னாலஜிஸ் வெளியிட்ட ஒரு ஆய்வின் மூலம் முதன்முதலில் வெளிவந்தது.

கலிப்சோ இதற்கு முன்னர் பிளக்ஸ் (PlugX) போன்ற தீம்பொருள் குடும்பங்களையும், வைட்பேர்ட் (WhiteBird) மற்றும் பைபை (BYEBY) உள்ளிட்ட பின்கதவுகளையும் நம்பியிருந்தது. பைபை தீம்பொருளானது, மைக்ரோசீன் (Mikroceen) எனக் குறிப்பிடப்படும் ஒரு பெரிய செயல்பாட்டுக் குழுமத்தைச் சேர்ந்தது, இது சிக்ஸ்லிட்டில்மங்கீஸ் (SixLittleMonkeys) அச்சுறுத்தல் குழுமத்துடனும் தொடர்புபடுத்தப்பட்டுள்ளது. மேலும், சிக்ஸ்லிட்டில்மங்கீஸ் மற்றும் வெப்வோர்ம் (Webworm) என அறியப்படும் சீனாவுடன் இணைந்த மற்றொரு செயல்பாட்டிற்கு இடையே தந்திரோபாய ஒற்றுமைகள் இருப்பதை ஆராய்ச்சியாளர்கள் குறிப்பிட்டனர்.

PlugX, ShadowPad, மற்றும் NosyDoor போன்ற பகிரப்பட்ட கட்டமைப்புகளுடன் Showboat-இன் தோற்றம், சீனாவுடன் தொடர்புடைய அச்சுறுத்தல் சக்திகளிடையே நிலவும் ஒரு பரந்த போக்கை எடுத்துக்காட்டுகிறது: அதாவது, பல உளவுக் குழுக்களிடையே தாக்குதல் சைபர் கருவிகளை மீண்டும் பயன்படுத்துவதும் விநியோகிப்பதும் ஆகும். இந்த முறை, அரசால் ஆதரிக்கப்படும் இயக்குபவர்களுக்கு தீம்பொருளையும் செயல்பாட்டு வளங்களையும் வழங்குவதற்குப் பொறுப்பான ஒரு மையப்படுத்தப்பட்ட 'டிஜிட்டல் தளவாட அதிகாரி' இருப்பதைக் கடுமையாகச் சுட்டிக்காட்டுகிறது.

மேம்பட்ட லினக்ஸ் பின்கதவுத் திறன்கள் கடுமையான கவலைகளை எழுப்புகின்றன.

மே 2025-ல் பதிவேற்றப்பட்ட ஒரு ELF பைனரியை ஆராய்ச்சியாளர்கள் பகுப்பாய்வு செய்த பிறகு இந்த விசாரணை தொடங்கியது. அது ஆரம்பத்தில் ரூட்கிட் போன்ற செயல்பாடுகளைக் கொண்ட மிகவும் மேம்பட்ட லினக்ஸ் பின்கதவு என வகைப்படுத்தப்பட்டது. இந்த தீம்பொருள் மாதிரி EvaRAT என்ற பெயரிலும் கண்காணிக்கப்படுகிறது.

துல்லியமான தொற்று வழிமுறை இன்னும் தெரியவில்லை என்றாலும், முந்தைய கலிப்சோ ஊடுருவல்களில், பாதுகாப்பு குறைபாடுகளைப் பயன்படுத்திக் கொண்டோ அல்லது இயல்புநிலை தொலைநிலை அணுகல் கணக்குகளைச் சிதைத்த பிறகோ ASPX வெப் ஷெல்கள் பயன்படுத்தப்பட்டுள்ளன. மேலும், இக்குழு, இழிபுகழ்பெற்ற ப்ராக்ஸிலாகான் சுரண்டல் சங்கிலியின் ஆரம்பக் கட்டத்தை உருவாக்கிய மைக்ரோசாஃப்ட் எக்ஸ்சேஞ்ச் சர்வர் குறைபாடான CVE-2021-26855-ஐ ஆயுதமாக்கிய ஆரம்பகால சீன அச்சுறுத்தல் குழுக்களில் ஒன்றாகும்.

ஷோபோட், தொலைநிலை C2 சேவையகங்களுடன் தொடர்பை ஏற்படுத்தவும், விரிவான கணினித் தகவல்களைச் சேகரிக்கவும், மேலும் அவ்வாறு சேகரிக்கப்பட்ட தரவுகளை PNG புலங்களுக்குள் மறைத்து, மறைகுறியாக்கம் செய்யப்பட்ட மற்றும் பேஸ்64 குறியாக்கம் செய்யப்பட்ட வடிவத்தில் அனுப்பவும் வடிவமைக்கப்பட்டுள்ளது. இந்த தீம்பொருள், பின்வருவன உள்ளிட்ட பல்வேறு மறைமுக மற்றும் செயல்பாட்டு அம்சங்களையும் ஆதரிக்கிறது:

• கோப்பு பதிவேற்றம் மற்றும் பதிவிறக்க செயல்பாடு
• செயல்முறை மறைப்பு நுட்பங்கள்
• C2 சேவையக மேலாண்மை
• உள் பிணைய ஸ்கேன்
• பக்கவாட்டு இயக்கத்திற்கான SOCKS5 ப்ராக்ஸி டனலிங்

பாதிக்கப்பட்ட ஹோஸ்ட்களில் கண்டறியப்படுவதைத் தவிர்ப்பதற்காக, ஷோபோட் பேஸ்ட்பினிலிருந்து ஒரு குறியீட்டுத் துணுக்கை மீட்டெடுக்கிறது, மேலும் ஆராய்ச்சியாளர்கள் அதில் உள்ள உள்ளடக்கத்தை ஜனவரி 11, 2022 தேதியிட்டதைக் கண்டறிந்துள்ளனர். நேரடி இணையத் தொடர்பிலிருந்து தனிமைப்படுத்தப்பட்டு, உள்ளக லேன் (LAN) இணைப்புகள் மூலம் மட்டுமே அணுகக்கூடிய இலக்கு நெட்வொர்க்குகளுக்குள் தொடர்ச்சியான அணுகலைப் பெறுவதே இந்த மால்வேரின் முதன்மை நோக்கம் என்று ஆய்வாளர்கள் நம்புகின்றனர்.

உள்கட்டமைப்பை விரிவுபடுத்துவது சர்வதேச பாதிக்கப்பட்டவர்களை வெளிப்படுத்துகிறது

அச்சுறுத்தல் உள்கட்டமைப்பை மேலும் ஆய்வு செய்ததில், பல பிராந்தியங்களில் பரவியுள்ள ஏராளமான பாதிக்கப்பட்ட நிறுவனங்கள் கண்டறியப்பட்டன. ஆப்கானிஸ்தானை தளமாகக் கொண்ட ஒரு இணைய சேவை வழங்குநரையும், அஜர்பைஜானில் அமைந்துள்ள அடையாளம் காணப்படாத மற்றொரு நிறுவனத்தையும் ஆராய்ச்சியாளர்கள் அடையாளம் கண்டனர். ஒரே மாதிரியான X.509 சான்றிதழ்களைப் பகிர்ந்து கொள்ளும் C2 சேவையகங்களின் ஒரு இரண்டாம் நிலைத் தொகுப்பும், அமெரிக்கா மற்றும் உக்ரைனில் உள்ள நிறுவனங்களைப் பாதிக்கும் சாத்தியமான பாதுகாப்பு மீறல்களைச் சுட்டிக்காட்டியது.

நீடித்த தீம்பொருள் ஊடுருவல்களின் தொடர்ச்சியான நிலைநிறுத்தமானது, பல அச்சுறுத்தல் சக்திகள் மிகவும் மறைமுகமான 'இருப்பதைப் பயன்படுத்தித் தப்பிப்பிழைக்கும்' நுட்பங்களை அதிகளவில் பயன்படுத்தி வந்தபோதிலும், மேம்பட்ட குழுக்கள் நீண்டகால அணுகல் மற்றும் செயல்பாட்டுக் கட்டுப்பாட்டிற்காகத் தனிப்பயனாக்கப்பட்ட பின்கதவுகளை இன்னமும் பெரிதும் சார்ந்துள்ளன என்பதைக் காட்டுகிறது. ஷோபோட் போன்ற தீம்பொருளின் கண்டுபிடிப்பானது, பாதிக்கப்பட்ட வலையமைப்புகளுக்குள் ஏற்படக்கூடிய பரந்த அளவிலான பாதுகாப்பு மீறலுக்கான ஒரு முக்கியக் குறியீடாகக் கருதப்பட வேண்டும் என்று பாதுகாப்பு வல்லுநர்கள் எச்சரிக்கின்றனர்.

JFMBackdoor தனது பிரச்சாரத்தை லினக்ஸ் அமைப்புகளுக்கு அப்பால் விரிவுபடுத்துகிறது.

ஷோபோட் மட்டுமின்றி, ஆப்கானிஸ்தானின் தொலைத்தொடர்புத் துறையைக் குறிவைத்த தாக்குதல்களின் போது, ஜேஎஃப்எம்பேக்டோர் (JFMBackdoor) எனப்படும் முழு அம்சங்கள் கொண்ட விண்டோஸ் தீம்பொருள் உட்புகுத்தலை கலிப்சோ பயன்படுத்துவதையும் ஆராய்ச்சியாளர்கள் கண்டறிந்தனர். இந்தத் தீம்பொருள், டிஎல்எல் சைடு-லோடிங் (DLL side-loading) எனப்படும் ஒரு நுட்பத்தின் மூலம் செலுத்தப்படுகிறது. இந்த நுட்பம், முறையான செயலிகளைத் தவறாகப் பயன்படுத்தி, தீங்கிழைக்கும் டைனமிக்-லிங்க் லைப்ரரிகளை (dynamic-link libraries) ஏற்றுகிறது.

இந்தத் தொற்றுச் சங்கிலி, நம்பகமான இயங்கு கோப்பைத் தொடங்கும் ஒரு பேட்ச் ஸ்கிரிப்ட் மூலம் தொடங்குகிறது, அது பின்னர் தீங்கிழைக்கும் DLL பேலோடை ஏற்றுகிறது. செயல்படத் தொடங்கியவுடன், JFMBackdoor பாதிக்கப்பட்ட கணினிகள் மீது தாக்குதல் நடத்துபவர்களுக்கு விரிவான செயல்பாட்டுக் கட்டுப்பாட்டை வழங்குகிறது. அதன் செயல்பாடுகளில் பின்வருவன அடங்கும்:

• தொலைநிலை வார்ப்புரு செயலாக்கம்

ஆப்கானிஸ்தான் மற்றும் அதன் தொலைத்தொடர்பு உள்கட்டமைப்பின் மீதான இந்தக் கவனம், ரெட் லமாசு நடவடிக்கைகளுடன் முன்னர் தொடர்புடைய பரந்த மூலோபாய நோக்கங்களுடன் நெருக்கமாகப் பொருந்தி, இந்த நடவடிக்கை சீன அச்சுறுத்தல் செயல்பாடுகளுடன் தொடர்புடைய ஒரு பெரிய இணைய உளவு முயற்சியின் ஒரு பகுதியாகும் என்ற மதிப்பீடுகளை வலுப்படுத்துகிறது.