चालुबो: एक RAT ज्याने अवघ्या 72 तासांत 600,000 पेक्षा जास्त राउटर निरुपयोगी केले 

चालुबो, रिमोट ऍक्सेस ट्रोजन (आरएटी)

काही दिवसांपूर्वी, ब्लॅक लोटस लॅब्सची घोषणा, अलीकडील अहवालाद्वारे, अ असुरक्षा ज्यामुळे 600,000 पेक्षा जास्त राउटर निरुपयोगी झाले लहान आणि गृह कार्यालयांसाठी.

आणि ते आहे 72 तासांच्या कालावधीत (25 ते 27 ऑक्टोबर 2023 दरम्यान) 600,000 हून अधिक राउटर रिमोट ऍक्सेस ट्रोजन (RAT) द्वारे अक्षम केले गेले होते. "चालूबो". घडलेल्या या घटनेमुळे संक्रमित उपकरणांची कायमस्वरूपी अकार्यक्षमता आणि त्यांच्या भौतिक प्रतिस्थापनाची गरज निर्माण झाली.

घटनेबद्दल

ब्लॅक लोटस लॅब्सने आपल्या प्रकाशनात अहवाल दिला आहे की हा हल्ला चालुबो मालवेअर वापरून करण्यात आला होता, जो 2018 पासून ओळखला जातो, बोटनेटचे केंद्रीकृत नियंत्रण आयोजित करते आणि लिनक्स उपकरणांवर वापरले जाते 86- आणि 86-बिट ARM, x64, x32_64, MIPS, MIPSEL आणि PowerPC आर्किटेक्चरवर आधारित.

चालुबो मालवेअर अंमलबजावणीच्या तीन टप्प्यांचा समावेश आहे:

  1. बॅश स्क्रिप्ट सुरू करत आहे:
    • भेद्यतेचे शोषण केल्यावर किंवा तडजोड केलेल्या क्रेडेन्शियल्सचा वापर केल्यावर, तडजोड केलेल्या डिव्हाइसवर बॅश स्क्रिप्ट कार्यान्वित केली जाते.
    • ही स्क्रिप्ट दुर्भावनायुक्त एक्झिक्युटेबल फाइलची उपस्थिती तपासते /usr/bin/usb2rci. फाइल उपस्थित नसल्यास, स्क्रिप्ट यासह पॅकेट फिल्टर अक्षम करते iptables -P INPUT ACCEPT; iptables -P OUTPUT ACCEPT;.
  2. Get_scrpc स्क्रिप्ट मूल्यांकन:
    • पटकथा get_scrpc फाइलच्या MD5 चेकसमचे मूल्यमापन करते usb2rci.
    • चेकसम पूर्वनिर्धारित मूल्याशी जुळत नसल्यास, स्क्रिप्ट लोड होते आणि दुसरी स्क्रिप्ट चालवते, get_fwuueicj.
  3. get_fwuueicj स्क्रिप्ट कार्यान्वित करत आहे:
    • ही स्क्रिप्ट फाइलची उपस्थिती तपासते /tmp/.adiisu. जर ते अनुपस्थित असेल तर ते तयार करा.
    • ते नंतर MIPS R3000 CPU साठी संकलित केलेली मुख्य मालवेअर एक्झिक्युटेबल फाइल निर्देशिकामध्ये लोड करते /tmp नावासह crrs आणि सुरू करतो.

आमच्या विश्लेषणाने "चालुबो" हे रिमोट ऍक्सेस ट्रोजन (RAT) ओळखले, जे इव्हेंटसाठी जबाबदार असलेले प्राथमिक पेलोड आहे. 2018 मध्ये प्रथम ओळखल्या गेलेल्या या ट्रोजनने त्याची क्रियाकलाप लपवण्यासाठी हुशार तंत्रे वापरली; मेमरीमध्ये चालण्यासाठी डिस्कवरून सर्व फायली काढून टाकल्या, डिव्हाइसवर आधीपासूनच अस्तित्वात असलेल्या यादृच्छिक प्रक्रियेचे नाव गृहीत धरले आणि कमांड आणि कंट्रोल (C2) सर्व्हरसह सर्व संप्रेषणे एनक्रिप्ट केली

साठी म्हणून चालुबो वर्तन, सआणि नमूद करते की ते कार्य करते:

  • माहिती गोळा करणे आणि पाठवणे: चालुबो एक्झिक्युटेबल होस्ट माहिती जसे की MAC पत्ता, डिव्हाइस आयडी, सॉफ्टवेअर आवृत्ती आणि स्थानिक IP पत्ते संकलित करते आणि बाह्य सर्व्हरला पाठवते.
  • डाउनलोड करा आणि मुख्य घटक चालवा: चालुबो कंट्रोल सर्व्हरची उपलब्धता तपासते आणि मालवेअरचे मुख्य घटक डाउनलोड करते, जे ChaCha20 स्ट्रीम सायफर वापरून डिक्रिप्ट केले जाते.
  • लुआ स्क्रिप्ट चालवत आहे: मुख्य घटक नियंत्रण सर्व्हरवरून अनियंत्रित लुआ स्क्रिप्ट डाउनलोड आणि कार्यान्वित करू शकतो, डिव्हाइसच्या भविष्यातील क्रिया ठरवतो, जसे की DDoS हल्ल्यांमध्ये भाग घेणे.

तसे कोणतीही ठोस माहिती नाही मालवेअर स्थापित करण्यासाठी उपकरणांशी नेमकी कशी तडजोड केली गेली आणि त्याबद्दल संशोधक ते असे गृहीत धरतात की अविश्वासू क्रेडेन्शियल्समुळे डिव्हाइसेसमध्ये प्रवेश मिळू शकतो विक्रेत्याद्वारे प्रदान केलेले, प्रशासन इंटरफेसमध्ये प्रवेश करण्यासाठी सामान्य पासवर्डचा वापर किंवा अज्ञात भेद्यतेचे शोषण. बॉटनेटच्या कंट्रोल सर्व्हरवर प्रवेश असलेल्या आक्रमणकर्त्यांनी लुआ स्क्रिप्ट कार्यान्वित करण्याच्या चालुबोच्या क्षमतेचा फायदा घेतला, डिव्हाइसचे फर्मवेअर ओव्हरराईट केले आणि ते अक्षम केले.

संबंधित C2 नोड्ससह तार्किक संक्रमण प्रक्रिया

त्याच्या बाजूला, ब्लॅक लोटस लॅब्स या हल्ल्याचे महत्त्वपूर्ण परिणाम कसे झाले यावर चर्चा करतात, हार्डवेअर उपकरणे बदलण्याची गरज यासह, विशेषत: ग्रामीण आणि कमी सेवा नसलेल्या भागात, या घटनेनंतर नेटवर्क विश्लेषण म्हणून 179 हजार ActionTec उपकरणे (T3200 आणि T3260) आणि 480 हजार Sagemcom उपकरणे (F5380) दुसऱ्या निर्मात्याच्या उपकरणांद्वारे बदलण्यात आली.

ही घटना केवळ हल्ल्याच्या तीव्रतेसाठीच नव्हे, तर चालुबो मालवेअरचा प्रसार असूनही (२०२४ च्या सुरुवातीपर्यंत ३३०,००० पेक्षा जास्त रेकॉर्ड केलेले आयपी कंट्रोल सर्व्हरमध्ये प्रवेश करत असताना) दुर्भावनापूर्ण कृती एकाच प्रदात्यापुरती मर्यादित होती, असे सूचित करते. अतिशय विशिष्ट हल्ला.

शेवटी तुम्ही असाल तर याबद्दल अधिक जाणून घेण्यात स्वारस्य आहे, मध्ये तपशील तपासू शकता खालील दुवा.


आपली टिप्पणी द्या

आपला ई-मेल पत्ता प्रकाशित केला जाणार नाही. आवश्यक फील्ड चिन्हांकित केले आहेत *

*

*

  1. डेटासाठी जबाबदार: AB इंटरनेट नेटवर्क 2008 SL
  2. डेटाचा उद्देशः नियंत्रण स्पॅम, टिप्पणी व्यवस्थापन.
  3. कायदे: आपली संमती
  4. डेटा संप्रेषण: कायदेशीर बंधन वगळता डेटा तृतीय पक्षास कळविला जाणार नाही.
  5. डेटा संग्रहण: ओकेन्टस नेटवर्क (EU) द्वारा होस्ट केलेला डेटाबेस
  6. अधिकारः कोणत्याही वेळी आपण आपली माहिती मर्यादित, पुनर्प्राप्त आणि हटवू शकता.