Araştırmacılar, endüstriyel casusluk kötü amaçlı yazılımlarını gizleyebilecek popüler bir açık kaynak paketi belirlediler.
“SqzrFramework480”, Çinli bir tüketici elektroniği ve çeşitli endüstriyel teknoloji üreticisi olan Bozhon Precision Industry Technology Co.'ya ait gibi görünen bir .NET dinamik bağlantı kitaplığıdır (DLL). Dosyanın belirtilen işlevleri arasında grafik kullanıcı arayüzlerinin (GUI'ler) yönetilmesi ve oluşturulması, makine görüşü kitaplıklarının başlatılması ve yapılandırılması, robotik hareket ayarlarının yapılması ve daha fazlası yer alır. 24 Ocak'ta NuGet açık kaynak deposuna yüklendi ve bu yazının yazıldığı an itibariyle halihazırda 3.000 indirme sayısına ulaştı.
Sonunda, söylediğinden daha fazlası olmayabilir. Ancak ReversingLabs'tan araştırmacılar, SqzrFramework480'i yeni bir raporda şüpheli olarak işaretledi; bu yöntem, içine gömülü olan ve ekran görüntüleri yakalamak, bir soket açmak ve verileri gizli bir IP adresine sızdırmak gibi oldukça kötü niyetli şeyler yaptığı anlaşılan bir yöntem sayesinde.
SqzrFramework480 bir OT Arka Kapısı mı?
Çinli şirketlerin geliştirdiği yazılımlar ortaya çıktı kötü niyetli tedarik zinciri saldırılarında kullanılır önce ve Endüstriyel sistemlere yönelik siber tehditler orada yeni değiller.
SqzrFramework480 bu trendlerin devamı mı? Cevap, “Init” yönteminde yatıyor.
Init'in işi uzak bir IP adresine ping atılmasıyla başlar. Bu IP adresi, her baytın ASCII kodlu bir karakter olduğu bir bayt dizisi olarak saklanır.
Ping başarılı olmazsa program uyku moduna geçer ve 30 saniye sonra tekrar dener. Başarılı olursa bir yuva açar ve bu IP adresine bağlanır. Daha sonra kurulu olduğu monitörün ekran görüntüsünü alır, onu bir bayt dizisi halinde paketler ve soket aracılığıyla gönderir.
Araştırmacılar bir yandan bunun Bozhon kameradan iş istasyonuna görüntü akışı sağlayan bir mekanizma olabileceğini öne sürdü. Ancak bazı bağlamsal kanıtlar bu teoriyi bulandırıyor.
Öncelikle, SqzrFramework480 içindeki adlar ve sınıflar oldukça sıradan etiketlere sahip olma eğilimindedir; örneğin hiçbir yerde ekran görüntüleri yakaladığı sonucu çıkarılamaz. Peki ping attığı IP adresi neden bayt olarak gizleniyor? Raporun yazarı Petar Kirhmajer, “Bu bir tür şüpheli veya alışılmadık bir uygulama” diyor. “Neden sadece IP'yi dahil etmiyorsunuz? [in plaintext]?”
Init'i gizlemek için harcanan uzunlukların yanı sıra, paketin, önceki tek listesi SqzrFramework480'in gizlenmiş bir versiyonu olan “SqzrFramework480.Faker” olan sıradan bir NuGet hesabı tarafından listelendiği gerçeği de var.
Herhangi bir silahın yerine, SqzrFramework480 canlı ve indirilmeye hazır olmaya devam ediyor.
Kirhmajer, “Benim önerim her pakete körü körüne güvenmemeniz olacaktır” diyor. “Eğer yapabiliyorsan, onları kendin denetlemelisin [manually]. Ve eğer bunu kendiniz yapacak kaynaklara sahip değilseniz, bu paketleri otomatik olarak tarayacak araçları kullanmalısınız.”