ChamelGang անվանումով հանդես եկող հաքերն օգտագործում է նախկինում չփաստաթղթավորված implant-ը Linux համակարգերերի backdoor-երի համար, ինչը նշանակում է, որ հաքերն ունի համակարգում իր դերի ընդլայնման մեծ հնարավորություններ:
Ծրագիրը, որը Stairwell-ի կողմից ստացել է ChamelDoH անվանումը, C++ based գործիք է՝ DNS-over-HTTPS (DoH) թունելավորման միջոցով հաղորդակցվելու համար:
ChamelGang-ն առաջին անգամ կիրառելի է դարձել ռուսական կիբերանվտանգության ոլորտի՝ Positive Technologies ընկերության կողմից, մանրամասնելով իրականացրած հարձակումները՝ Ռուսաստանում, ԱՄՆ-ում, Հնդկաստանում, Նեպալում, Թայվանում և Ճապոնիայում: Հարձակումնրեը հիմնականում թիրախավորել են՝ վառելիքի, էներգիայի և ավիացիոն արտադրության խոշորագույն ոլորտները:
«Սա native IIS մոդուլ է, որը գրանցված է որպես զտիչ: IIS մոդուլի միջոցով մշակվում են HTTP հարցումներն ու պատասխանները», – նշում է Positive Technologies-ը:
«Դրա աշխատանքի սկզբունքը անսովոր է. backdoor-ը մշակում է միայն այն հարցումները, որոնցում դրված են cookie-ների ճիշտ պարամետրը»:
Սթեյրվելի կողմից հայտնաբերված Linux-ի backdoor-ն իր հերթին նախագծված է համակարգի տեղեկատվությունը յուրացնելու համար և ունակ է remote access-ի կատարման, ինչպիսիք են՝ ֆայլերի վերբեռնումը, ներբեռնումը, ջնջումը և shell command-ի կատարումը:
ChamelDoH-ին եզակի է դարձնում DoH-ի նորագույն հաղորդակցման մեթոդը, որը HTTPS protocol-ի միջոցով օգտագործում է Domain Name System (DNS) resolution-ը՝ DNS TXT հարցումները rogue nameserver-երին ուղարկելու համար:
DoH-ի օգտագործումը command-and-control (C2)- համար հաքերին մի շարք առավելություններ է տալիս:
Սա նաև նշանակում է, որ անվտանգության լուծումները չեն կարող լիովին արգելել DoH հարցումների կիրառումը և անջատել հաղորդակցությունը:
«Այս մարտավարության արդյունքը domain fronting-ի միջոցով հարցվում է C2-ին, որտեղ traffic-ն ուղարկվում է CDN-ում տեղակայված օրինական ծառայության միջոցով, սակայն վերահղվում է դեպի C2 սերվեր», – բացատրում է փորձագետ Մայերը:
Աղբյուրը՝ https://thehackernews.com/
