कद्दू ग्रहण

 (blog.lumen.com)
1 पॉइंट द्वारा GN⁺ 2024-06-01 | 1 टिप्पणियां | WhatsApp पर शेयर करें

Black Lotus Labs की रिपोर्ट का सारांश

घटना का अवलोकन

  • घटना: 25 से 27 अक्टूबर 2023 के बीच 72 घंटे की अवधि में, एक ही Internet Service Provider (ISP) से जुड़े 6 लाख से अधिक छोटे कार्यालय/घरेलू (SOHO) राउटर ऑफ़लाइन हो गए।
  • प्रभाव: संक्रमित डिवाइस स्थायी रूप से निष्क्रिय हो गए और हार्डवेयर बदलना आवश्यक हुआ।
  • मुख्य कारण: Chalubo नामक Remote Access Trojan (RAT) को मुख्य कारण के रूप में पहचाना गया।

Chalubo ट्रोजन

  • पहली पहचान: 2018 में पहली बार पाया गया।
  • विशेषताएँ:
    • डिस्क से सभी फ़ाइलें हटाता है और मेमोरी में चलाया जाता है।
    • डिवाइस में पहले से मौजूद किसी रैंडम process name का उपयोग करता है।
    • Command and Control (C2) सर्वर के साथ सभी संचार को एन्क्रिप्ट करता है।
  • क्षमताएँ: DDoS हमले करना, Lua स्क्रिप्ट चलाना।

संक्रमण प्रक्रिया

  • प्रारंभिक पहुंच: संभवतः कमजोर credentials या exposed management interface का दुरुपयोग किया गया।
  • संक्रमण चरण:
    • पहला चरण: get_scrpc bash स्क्रिप्ट के ज़रिए initial payload server तक पहुंच।
    • दूसरा चरण: अतिरिक्त स्क्रिप्ट और payload डाउनलोड कर चलाए जाते हैं।
    • मुख्य फ़ाइलें: /usr/bin/usb2rci, /tmp/.adiisu, /tmp/crrs आदि।

वैश्विक संक्रमण स्थिति

  • सक्रियता: नवंबर 2023 से 2024 की शुरुआत तक Chalubo malware बहुत सक्रिय रहा।
  • संक्रमित IP पते: 30 अक्टूबर 2023 तक 3.3 लाख से अधिक unique IP addresses संक्रमित थे।

निष्कर्ष

  • विशेषता: यह हमला एक विशेष ASN तक सीमित था, लेकिन 6 लाख से अधिक डिवाइस प्रभावित हुए।
  • हमले का उद्देश्य: जानबूझकर firmware update के माध्यम से डिवाइस को निष्क्रिय बना देना।
  • सुरक्षा सिफारिशें:
    • SOHO राउटर प्रबंधन संगठन: default password का उपयोग न करें, management interface की सुरक्षा मजबूत करें।
    • सामान्य उपयोगकर्ता: राउटर को नियमित रूप से reboot करें और security updates इंस्टॉल करें।

GN⁺ की राय

  • दिलचस्प बिंदु: यह घटना केवल एक ISP तक सीमित थी, और बड़े पैमाने पर हार्डवेयर बदलना पड़ा, इसलिए यह बहुत असामान्य है।
  • सुरक्षा सुदृढ़ीकरण की आवश्यकता: SOHO राउटर और IoT डिवाइस की सुरक्षा को तत्काल मजबूत करने की ज़रूरत है।
  • तकनीकी सबक: malware केवल मेमोरी में चलना और संचार को एन्क्रिप्ट करना जैसी detection-evasion तकनीकों में आगे बढ़ रहा है।
  • वैकल्पिक समाधान: समान क्षमताएँ देने वाले अन्य security solutions या projects की समीक्षा करने की आवश्यकता है।
  • अपनाने से पहले विचार: नई सुरक्षा तकनीक अपनाते समय, मौजूदा सिस्टम के साथ compatibility और management की सहजता पर विचार करना चाहिए।

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-06-01
Hacker News राय
  • फर्मवेयर समस्या: फर्मवेयर समस्या से पैदा हुई दिक्कत को ठीक करने के लिए फ्लैश चिप की write-enable लाइन को ब्लॉक करने और रोज़ाना reboot शेड्यूल करने का सपना देखना।
  • सैटेलाइट रिसीवर का अनुभव: 20 साल पहले सैटेलाइट रिसीवर के साथ जैसा किया था, उसी तरह इंटरनेट से जुड़े हर डिवाइस को इलेक्ट्रॉनिक countermeasures के प्रति संवेदनशील मानना चाहिए।
  • अपडेट मॉनिटरिंग: उपकरण के updates को मॉनिटर करने और update होने पर अलर्ट देने वाले सिस्टम की ज़रूरत।
  • लेख में सामग्री की कमी: लेख में दिलचस्प details की कमी है। यह जिज्ञासा कि क्या router में default रूप से खुले ports और services थे।
  • फर्मवेयर तुलना: क्या अलग-अलग firmware versions की तुलना की जा सकती है, इस पर सवाल।
  • OpenWrt का उपयोग: लगता है ज़्यादातर लोग OpenWrt और vendor SDK का उपयोग कर रहे हैं।
  • दुर्भावनापूर्ण अपडेट का संदेह: संदेह कि vendor ने malicious या corrupted update भेजा।
  • ISP के आधिकारिक बयान का अभाव: ISP का आधिकारिक बयान क्यों नहीं है, इस पर सवाल। अगर यह हमला था तो जाँच ज़रूरी है।
  • अमेरिका में निपटने का तरीका: अमेरिका में ऐसी समस्या से कैसे निपटा जाता है, इस पर सवाल।
  • bot infection की संभावना: संभावना कि मशीनें bot से संक्रमित थीं और vendor ने ऐसा update push किया जिसने सब कुछ बिगाड़ दिया।
  • सुरक्षा घटना की सूचना की ज़रूरत: ग्राहक के रूप में security incident के बारे में जानना चाहते हैं।
  • फर्मवेयर इमेज लिंक का अनुरोध: उस डिवाइस की firmware image या अतिरिक्त details के लिंक का अनुरोध।
  • ट्रैफ़िक लॉग्स: सवाल कि Black Lotus Labs को traffic logs के ज़रिए IPs के बीच संचार का पता कैसे चलता है।
  • Tor सुरक्षा पर सवाल: क्या Tor की सुरक्षा सच में सुरक्षित है, इस पर सवाल।
  • x86 box और OpenWrt: dual NIC वाले छोटे x86 box खरीदकर उस पर OpenWrt चलाना पसंद है। open source, बहुत support, अच्छी community, Wireguard support।
  • HN karma points का सुझाव: HN में clickbait शीर्षक को बेहतर बनाने वाले submitter को karma points देने का सुझाव।
  • कनाडा सरकार की उपयोगी सिफारिशें: कनाडा सरकार की उपयोगी recommendations का लिंक।
  • backdoor और firmware bugs: 6 लाख routers में backdoor इंस्टॉल करने और firmware bugs डालने पर होने वाली समस्या।
  • अपडेट का चरणबद्ध rollout: क्या updates को चरणबद्ध तरीके से rollout नहीं किया जा सकता, इस पर सवाल।
  • लेख के शीर्षक का अर्थ: लेख के शीर्षक का क्या मतलब है, इस पर सवाल।
  • भ्रमित करने वाला शीर्षक: जिन लोगों को शीर्षक भ्रमित करने वाला लगा, उनके लिए यह 6 लाख अलग-अलग routers के नष्ट होने के बारे में है।
  • संबंधित लेख: Ars Technica के संबंधित लेख का लिंक।