எஃப்.பி.ஐ மற்றும் என்.எஸ்.ஏ ஆகியவை நேற்று பாதுகாப்பு எச்சரிக்கையை வெளியிட்டன மொத்தமாக விவரங்களைக் கொண்டுள்ளது லினக்ஸை பாதிக்கும் புதிய தீம்பொருள் இரண்டு நிறுவனங்களின்படி, இது ரஷ்ய இராணுவ ஹேக்கர்களால் உண்மையான தாக்குதல்களில் உருவாக்கப்பட்டது மற்றும் பயன்படுத்தப்பட்டது.
ரஷ்ய ஹேக்கர்கள் தீம்பொருளைப் பயன்படுத்தினர் என்று இரு நிறுவனங்களும் கூறுகின்றன ட்ரோவொரப், ஹேக் செய்யப்பட்ட நெட்வொர்க்குகளுக்குள் கதவுகளை நிறுவ.
ட்ரோவோரப் பற்றி
தீம்பொருளுக்கு திருட்டுத்தனத்தை உறுதிப்படுத்தும் வெவ்வேறு தொகுதிகள் உள்ளன, விடாமுயற்சி மற்றும் இயந்திரத்திற்கான முழு அணுகல் மிக உயர்ந்த சலுகைகளுக்கு உறுதியளித்தார்.
NSA மற்றும் FBI வெளியிட்ட தொழில்நுட்ப அறிக்கையில், ட்ரோவொரூப்பின் திறன்கள் மற்றும் கண்டறிதல் தீர்வுகளுக்கான திட்டங்கள் குறித்த விவரங்கள் வெளியிடப்பட்டன மற்றும் தடுப்பு.
அறிக்கையின்படி, பாதிக்கப்பட்ட கணினியில் மறைக்க ரூட்கிட் மிகவும் பயனுள்ளதாக இருக்கும் மற்றும் மறுதொடக்கங்களைத் தவிர்த்து:
"யுனிஃபைட் எக்ஸ்டென்சிபிள் ஃபெர்ம்வேர் இன்டர்ஃபேஸ் (யுஇஎஃப்ஐ) பாதுகாப்பான துவக்கம்" முழு "அல்லது" முழு "பயன்முறையில் இயக்கப்பட்டது.
ட்ரோவொரூப்பின் ஒவ்வொரு பகுதியின் தொழில்நுட்ப விவரங்களையும் அறிக்கை விவரிக்கிறது, அவை வெப்சாக்கெட்டுகள் வழியாக JSON வழியாக ஒருவருக்கொருவர் தொடர்புகொள்கின்றன மற்றும் RSA வழிமுறையைப் பயன்படுத்தி சேவையக தொகுதிக்கு மற்றும் போக்குவரத்தை குறியாக்குகின்றன.
NSA மற்றும் FBI தீம்பொருளை ரஷ்ய பொது ஊழியர்களின் முக்கிய புலனாய்வு இயக்குநரகம் காரணமாகக் கூறியது, 85 வது. முதன்மை சிறப்பு சேவை மையம் (ஜி.டி.எஸ்.எஸ்.எஸ்), ராணுவ பிரிவு 26165.
இந்த அமைப்பின் இணைய செயல்பாடு ஃபேன்ஸி பியர் (APT28, Strontium, Group 74, PawnStorm, Sednit, Sofacy, Iron Twilight) என அழைக்கப்படும் மேம்பட்ட ஹேக்கிங் கூட்டு பிரச்சாரங்களுடன் இணைக்கப்பட்டுள்ளது.
இந்த ஒதுக்கீடு, சைபர் தாக்குதல்களுக்கு எதிராக பாதுகாக்க ஜி.டி.எஸ்.எஸ்.எஸ் உடன் நிறுவனங்கள் பகிரங்கமாக தொடர்புபடுத்திய செயல்பாட்டு கட்டளை மற்றும் கட்டுப்பாட்டு உள்கட்டமைப்பை அடிப்படையாகக் கொண்டது. ஒரு துப்பு மைக்ரோசாப்ட் ஒரு ஸ்ட்ரோண்டியம் பிரச்சாரத்தில் கண்டறிந்த ஐபி முகவரி ஏப்ரல் 2019 இல் ஐஓடி சாதனங்களை இயக்குகிறது மற்றும் அதே காலகட்டத்தில் ட்ரோவொரப் சி 2 ஐ அணுகவும் பயன்படுகிறது.
கண்டறிதல் மற்றும் தடுப்பு
என்எஸ்ஏ விசாரணை அதை தீர்மானித்துள்ளது கூடுதல் கண்டறிதல் நுட்பங்கள் மூலம் தீம்பொருள் செயல்பாடு தெரியும், ஆனால் இவை ட்ரோவொரப் கர்னல் தொகுதிக்கு மிகவும் பயனுள்ளதாக இல்லை.
பிணைய ஊடுருவல் கண்டறிதல் அமைப்புகள் (NIDS) மீர்கட், ஸ்னார்ட், ஜீக் போன்றவை செய்திகளை மாறும் வகையில் திறக்க முடியும் வெப்சாக்கெட் நெறிமுறை "மறைக்கப்பட்டுள்ளது" (ஸ்கிரிப்ட்களைப் பயன்படுத்தி) மற்றும் சி 2 செய்திகளை அடையாளம் காணவும் கிளையன்ட் மற்றும் முகவர் கூறுகள் மற்றும் ட்ரோவொரப் சேவையகத்திற்கு இடையில்.
ஒரு டி.எல்.எஸ் ப்ராக்ஸி அதே முடிவை அடைகிறது தகவல்தொடர்பு சேனல் குறியாக்கத்திற்கு TLS ஐப் பயன்படுத்தினாலும் கூட. இருப்பினும், இந்த முறைகளைக் கொண்ட ஒரு எச்சரிக்கை என்னவென்றால், டி.எல்.எஸ் பயன்படுத்தப்பட்டால் அல்லது நடிகர் வேறு செய்தி வடிவமைப்பிற்கு மாறினால் பியரிங் கவனிக்கப்படாது.
கண்டுபிடிப்புக்கு ஹோஸ்ட் அடிப்படையிலான, தி NSA மற்றும் FBI பின்வரும் தீர்வுகளை வழங்குகின்றன:
- அறிக்கையில் சேர்க்கப்பட்டுள்ள ஸ்கிரிப்டைப் பயன்படுத்தி ட்ரோவொரப் கர்னல் தொகுதி இருப்பதை சோதிக்கவும் (பக்கம் 35 இல்)
- லினக்ஸ் கர்னல் தணிக்கை அமைப்பு போன்ற தீம்பொருள் கலைப்பொருட்கள் மற்றும் ரூட்கிட் செயல்பாட்டைக் கண்டறியக்கூடிய பாதுகாப்பு தயாரிப்புகள்;
- நேரடி மறுமொழி நுட்பங்கள், குறிப்பிட்ட கோப்பு பெயர்கள், பாதைகள், ஹாஷ்கள் மற்றும் யாராவின் விதிகளைத் தேடுவது (ஸ்னார்ட்டின் விதிகள் அறிக்கையில் வழங்கப்பட்டுள்ளது)
- மெமரி ஸ்கேன், ரூட்கிட்டைக் கண்டுபிடிக்க மிகவும் திறமையான வழி;
- வட்டு பட ஸ்கேனிங், தீம்பொருள் கலைப்பொருட்கள் வட்டில் தொடர்ந்து உள்ளன, ஆனால் ரூட்கிட்கள் பைனரி கோப்புகள் மற்றும் சாதாரண கணினி அழைப்புகளிலிருந்து அவற்றை மறைக்கின்றன.
தடுப்பு முறைகளாக, இரு நிறுவனங்களும் சமீபத்திய லினக்ஸ் புதுப்பிப்புகளை நிறுவ பரிந்துரைக்கின்றன மேலும் கிடைக்கக்கூடிய சமீபத்திய மென்பொருள் பதிப்புகளைப் பயன்படுத்தவும்.
கூடுதலாக, கணினி நிர்வாகிகள் இயந்திரங்கள் குறைந்தபட்சம் லினக்ஸ் கர்னல் 3.7 ஐ இயக்குகின்றன என்பதை அவர்கள் உறுதிப்படுத்த வேண்டும், இது கர்னல் கையொப்பத்தை செயல்படுத்த வழங்குகிறது. செல்லுபடியாகும் டிஜிட்டல் கையொப்பத்தைக் கொண்ட தொகுதிகளை மட்டுமே ஏற்றுவதற்கு அமைப்புகளை உள்ளமைப்பது தீங்கிழைக்கும் கர்னல் தொகுதிக்கூறுகளைத் தடுப்பதில் சிரமத்தின் அளவை அதிகரிக்கிறது.
UEFI பாதுகாப்பான துவக்க சரிபார்ப்பு பொறிமுறையை இயக்குவது மற்றொரு பரிந்துரை (முழு பயன்பாடு) இது முறையான கர்னல் தொகுதிகளை மட்டுமே ஏற்ற அனுமதிக்கிறது. இருப்பினும், சமீபத்தில் வெளியிடப்பட்ட பூட்ஹோல் பாதிப்புக்கு எதிராக இது பாதுகாக்காது.