Alat spionase yang sebelumnya tidak terdokumentasi telah dikerahkan terhadap pemerintah terpilih dan target infrastruktur penting lainnya sebagai bagian dari kampanye spionase jangka panjang yang diatur oleh aktor ancaman terkait China setidaknya sejak 2013.
Tim Symantec Threat Hunter dari Broadcom mengkarakterisasi pintu belakang, bernama Daxin , sebagai malware berteknologi canggih, yang memungkinkan penyerang untuk melakukan berbagai komunikasi dan operasi pengumpulan informasi yang ditujukan untuk entitas di sektor telekomunikasi, transportasi, dan manufaktur yang memiliki kepentingan strategis. ke China.
"Malware Daxin adalah backdoor rootkit yang sangat canggih dengan fungsionalitas command-and-control (C2) yang kompleks dan tersembunyi yang memungkinkan aktor jarak jauh untuk berkomunikasi dengan perangkat aman yang tidak terhubung langsung ke internet," kata Badan Keamanan Siber dan Infrastruktur AS (CISA) dalam penasehat independen.
Implan tersebut berbentuk driver kernel Windows yang mengimplementasikan mekanisme komunikasi yang rumit yang memberikan malware tingkat siluman yang tinggi dan kemampuan untuk berbicara dengan mesin yang secara fisik terputus dari internet.
Ini mencapai ini dengan secara tegas menghindari peluncuran layanan jaringannya sendiri, alih-alih memilih untuk mengambil keuntungan dari layanan TCP/IP yang sah yang sudah berjalan pada komputer yang terinfeksi untuk memadukan komunikasinya dengan lalu lintas normal di jaringan target dan menerima perintah dari rekan jarak jauh.
"Fitur-fitur ini mengingatkan pada Regin," catat para peneliti, merujuk pada perangkat lunak perusak dan peretasan canggih lainnya yang dikaitkan dengan Badan Keamanan Nasional AS (NSA) untuk operasi mata-mata pemerintah pada tahun 2014.
Di antara aspek yang tidak biasa dari Daxin, selain tidak menghasilkan lalu lintas jaringan yang mencurigakan untuk tetap tidak terlihat, adalah kemampuannya untuk menyampaikan perintah di seluruh jaringan komputer yang terinfeksi dalam organisasi yang diserang, menciptakan "saluran komunikasi multi-simpul" yang memungkinkan akses berulang ke jaringan yang disusupi. komputer untuk waktu yang lama.
Sementara intrusi baru-baru ini yang melibatkan pintu belakang dikatakan telah terjadi pada November 2021, Symantec mengatakan telah menemukan kesamaan tingkat kode dengan malware yang lebih tua yang disebut Exforel (alias Zala ), yang menunjukkan bahwa Daxin mungkin dibuat oleh aktor yang memiliki akses ke basis kode yang terakhir atau bahwa mereka adalah karya dari kelompok yang sama.
Kampanye tersebut tidak dikaitkan dengan satu musuh, tetapi garis waktu serangan menunjukkan bahwa Daxin diinstal pada beberapa sistem yang sama di mana alat yang terkait dengan aktor spionase Tiongkok lainnya seperti Slug ditemukan. Ini termasuk penyebaran Daxin dan Owprox di satu komputer milik perusahaan teknologi pada Mei 2020.
"Daxin tidak diragukan lagi adalah malware paling canggih [...] yang digunakan oleh aktor yang terkait dengan China," kata para peneliti. “Mempertimbangkan kemampuannya dan sifat serangan yang dikerahkannya, Daxin tampaknya dioptimalkan untuk digunakan terhadap target yang diperkeras, memungkinkan penyerang untuk menggali jauh ke dalam jaringan target dan mengekstrak data tanpa menimbulkan kecurigaan.”
Pengungkapan itu muncul seminggu setelah Pangu Lab yang berbasis di China mengeluarkan pintu belakang "tingkat atas" yang disebut Bvp47 yang digunakan oleh Badan Keamanan Nasional AS selama lebih dari satu dekade yang menargetkan sebanyak 287 organisasi di 45 negara yang berlokasi terutama di China, Korea, Jepang, Jerman, Spanyol, India, dan Meksiko.
source: thehackernews
Posting Komentar