சில நாட்களுக்கு முன்பு பாதுகாப்பு ஆராய்ச்சியாளர்கள் ஒரு புதிய வகை லினக்ஸ் தீம்பொருளைக் கண்டுபிடித்துள்ளனர் இது சீன ஹேக்கர்களால் உருவாக்கப்பட்டதாகத் தெரிகிறது மற்றும் பாதிக்கப்பட்ட அமைப்புகளை தொலைவிலிருந்து கட்டுப்படுத்த ஒரு வழிமுறையாகப் பயன்படுத்தப்படுகிறது.
HiddenWasp என அழைக்கப்படுகிறது, இந்த தீம்பொருள் பயனர் பயன்முறை ரூட்கிட், ட்ரோஜன் மற்றும் ஆரம்ப வரிசைப்படுத்தல் ஸ்கிரிப்டைக் கொண்டுள்ளது.
லினக்ஸில் இயங்கும் பிற தீங்கிழைக்கும் நிரல்களைப் போலன்றி, குறியீடு மற்றும் சேகரிக்கப்பட்ட சான்றுகள் பாதிக்கப்பட்ட கணினிகள் ஏற்கனவே இதே ஹேக்கர்களால் சமரசம் செய்யப்பட்டுள்ளன என்பதைக் காட்டுகின்றன.
எனவே இந்த அச்சுறுத்தலை அழிக்கும் சங்கிலியில் HiddenWasp இன் மரணதண்டனை ஒரு மேம்பட்ட கட்டமாக இருக்கும்.
எத்தனை கணினிகள் பாதிக்கப்பட்டுள்ளன அல்லது மேலேயுள்ள படிகள் எவ்வாறு செய்யப்பட்டன என்பது எங்களுக்குத் தெரியாது என்று கட்டுரை கூறினாலும், பெரும்பாலான "பின்னணி" வகை நிரல்கள் ஒரு பொருளைக் கிளிக் செய்வதன் மூலம் நிறுவப்பட்டுள்ளன என்பதைக் கவனத்தில் கொள்ள வேண்டும். (இணைப்பு, படம் அல்லது இயங்கக்கூடிய கோப்பு), இது அச்சுறுத்தல் என்பதை பயனர் உணராமல்.
சமூக பொறியியல், இது ட்ரோஜான்கள் தங்கள் கணினிகள் அல்லது மொபைல் சாதனங்களில் மறைக்கப்பட்ட வாஸ்ப் போன்ற மென்பொருள் தொகுப்புகளை நிறுவுவதற்கு பாதிக்கப்பட்டவர்களை ஏமாற்றுவதற்காகப் பயன்படுத்தும் தாக்குதலின் வடிவமாகும், இந்த தாக்குதல்காரர்கள் தங்கள் இலக்குகளை அடைய ஏற்றுக்கொண்ட நுட்பமாக இருக்கலாம்.
அதன் தப்பிக்கும் மற்றும் தடுப்பு மூலோபாயத்தில், கிட் ஒரு பைனரி கோப்போடு ஒரு பாஷ் ஸ்கிரிப்டைப் பயன்படுத்துகிறது. இன்டெஸர் ஆராய்ச்சியாளர்களின் கூற்றுப்படி, டோட்டல் வைரஸிலிருந்து பதிவிறக்கம் செய்யப்பட்ட கோப்புகள் சீனாவை தளமாகக் கொண்ட தடயவியல் சமூகத்தின் பெயரைக் கொண்ட ஒரு பாதையைக் கொண்டுள்ளன.
HiddenWasp பற்றி
தீம்பொருள் மறைக்கப்பட்ட வாஸ்ப் ரூட்கிட், ட்ரோஜன் மற்றும் தீங்கிழைக்கும் ஸ்கிரிப்ட் போன்ற மூன்று ஆபத்தான கூறுகளால் ஆனது.
அச்சுறுத்தலின் ஒரு பகுதியாக பின்வரும் அமைப்புகள் செயல்படுகின்றன.
- உள்ளூர் கோப்பு முறைமை கையாளுதல்: பாதிக்கப்பட்டவரின் ஹோஸ்ட்களில் அனைத்து வகையான கோப்புகளையும் பதிவேற்ற அல்லது தனிப்பட்ட மற்றும் கணினி தகவல்கள் உட்பட எந்தவொரு பயனர் தகவலையும் கடத்த இந்த இயந்திரம் பயன்படுத்தப்படலாம். இது நிதி திருட்டு மற்றும் அடையாள திருட்டு போன்ற குற்றங்களுக்கு வழிவகுக்கும் என்பதால் இது குறிப்பாக சம்பந்தப்பட்டது.
- கட்டளை செயல்படுத்தல்: அத்தகைய பாதுகாப்பு பைபாஸ் சேர்க்கப்பட்டால், முக்கிய இயந்திரம் தானாகவே ரூட் அனுமதிகள் உட்பட அனைத்து வகையான கட்டளைகளையும் தொடங்கலாம்.
- கூடுதல் பேலோட் டெலிவரி: உருவாக்கப்பட்ட நோய்த்தொற்றுகள் ransomware மற்றும் cryptocurrency சேவையகங்கள் உள்ளிட்ட பிற தீம்பொருளை நிறுவ மற்றும் தொடங்க பயன்படுத்தலாம்.
- ட்ரோஜன் செயல்பாடுகள்: பாதிக்கப்பட்ட கணினிகளைக் கட்டுப்படுத்த HiddenWasp லினக்ஸ் தீம்பொருளைப் பயன்படுத்தலாம்.
கூடுதலாக, தீம்பொருள் ஹாங்காங்கில் அமைந்துள்ள திங்க் ட்ரீம் எனப்படும் இயற்பியல் சேவையக ஹோஸ்டிங் நிறுவனத்தின் சேவையகங்களில் ஹோஸ்ட் செய்யப்படும்.
"பிற தளங்களுக்கு இன்னும் அறியப்படாத லினக்ஸ் தீம்பொருள் பாதுகாப்பு சமூகத்திற்கு புதிய சவால்களை உருவாக்கக்கூடும்" என்று இன்டெசர் ஆராய்ச்சியாளர் இக்னாசியோ சான்மில்லன் தனது கட்டுரையில் எழுதினார்
"இந்த தீங்கிழைக்கும் திட்டம் ரேடரின் கீழ் இருக்க நிர்வகிக்கிறது என்பது பாதுகாப்புத் தொழிலுக்கு இந்த அச்சுறுத்தல்களைக் கண்டறிய அதிக முயற்சி அல்லது வளங்களை அர்ப்பணிக்க ஒரு சிவப்புக் கொடியாக இருக்க வேண்டும்," என்று அவர் கூறினார்.
மற்ற நிபுணர்களும் இந்த விஷயத்தில் கருத்து தெரிவித்தனர், டாம் ஹெகல், AT&T ஏலியன் லேப்ஸின் பாதுகாப்பு ஆராய்ச்சியாளர்:
"இந்த கருவித்தொகுப்பில் உள்ள துண்டுகள் சில திறந்த மூல கருவிகளுடன் சில குறியீடு / மறுபயன்பாட்டு மேலெழுதல்களைக் கொண்டிருப்பதால், நிறைய அறியப்படாதவை உள்ளன. எவ்வாறாயினும், ஒன்றுடன் ஒன்று மற்றும் உள்கட்டமைப்பு வடிவமைப்பின் அடிப்படையில், இலக்குகளில் அதன் பயன்பாட்டிற்கு கூடுதலாக, வின்ட்டி குடையுடனான தொடர்பை நாங்கள் நம்பிக்கையுடன் மதிப்பிடுகிறோம். '
டிரிப்வைரில் தயாரிப்பு மேலாண்மை மற்றும் வியூகத்தின் துணைத் தலைவர் டிம் எர்லின்:
"லினக்ஸை குறிவைப்பதைத் தவிர, மறைக்கப்பட்ட வாஸ்ப் அதன் தொழில்நுட்பத்தில் தனித்துவமானது அல்ல. முக்கியமான கோப்பு மாற்றங்களுக்காக அல்லது புதிய கோப்புகள் தோன்றுவதற்காக அல்லது சந்தேகத்திற்கிடமான பிற மாற்றங்களுக்காக உங்கள் லினக்ஸ் அமைப்புகளை நீங்கள் கண்காணிக்கிறீர்கள் என்றால், தீம்பொருள் மறைக்கப்பட்ட வாஸ்ப் என அடையாளம் காணப்படலாம் ”
எனது கணினி சமரசம் செய்யப்படுவது எனக்கு எப்படித் தெரியும்?
அவற்றின் கணினி பாதிக்கப்பட்டுள்ளதா என சோதிக்க, அவர்கள் "ld.so" கோப்புகளைத் தேடலாம். எந்தவொரு கோப்பிலும் '/etc/ld.so.preload' என்ற சரம் இல்லை என்றால், உங்கள் கணினி சமரசம் செய்யப்படலாம்.
ஏனென்றால், ட்ரோஜன் உள்வைப்பு தன்னிச்சையான இடங்களிலிருந்து LD_PRELOAD பொறிமுறையை செயல்படுத்த ld.so இன் நிகழ்வுகளை இணைக்க முயற்சிக்கும்.