खतरनाक नए आईसीएस मैलवेयर रूस और यूक्रेन में संगठनों को निशाना बनाते हैं

खतरनाक नए आईसीएस मैलवेयर रूस और यूक्रेन में संगठनों को निशाना बनाते हैं

समय टिकट: 17 अप्रैल, 2024 4:31 PM
खतरनाक नए आईसीएस मैलवेयर रूस और यूक्रेन में संगठनों को लक्षित करते हैं प्लेटोब्लॉकचेन डेटा इंटेलिजेंस। लंबवत खोज. ऐ.

यूरोप में औद्योगिक नियंत्रण प्रणाली (आईसीएस) और ऑपरेटिंग प्रौद्योगिकी (ओटी) वातावरण पर लक्षित दो खतरनाक मैलवेयर उपकरण यूक्रेन में युद्ध से साइबर नतीजे की नवीनतम अभिव्यक्तियाँ हैं।

उपकरणों में से एक, जिसे "कापेका,'' सैंडवॉर्म से जुड़ा हुआ प्रतीत होता है, जो एक विपुल रूसी राज्य-समर्थित खतरा अभिनेता है जिसे Google के मैंडिएंट सुरक्षा समूह ने इस सप्ताह देश का बताया है यूक्रेन में प्राथमिक साइबर हमला इकाई. फिनलैंड स्थित विथसिक्योर के सुरक्षा शोधकर्ताओं ने 2023 में एस्टोनियाई लॉजिस्टिक्स कंपनी और पूर्वी यूरोप में अन्य लक्ष्यों के खिलाफ हुए हमलों में पिछले दरवाजे को देखा और इसे एक सक्रिय और चल रहे खतरे के रूप में देखा।

विनाशकारी मैलवेयर

अन्य मैलवेयर - कुछ हद तक रंगीन रूप से डब किया गया फ़क्सनेट - एक उपकरण है जिसे यूक्रेन सरकार समर्थित खतरा समूह ब्लैकजैक ने हाल ही में मोस्कोलेक्टर के खिलाफ विनाशकारी हमले में इस्तेमाल किया था, एक कंपनी जो मॉस्को के सीवेज सिस्टम की निगरानी के लिए सेंसर का एक बड़ा नेटवर्क रखती है। हमलावरों ने मोस्कोलेक्टर के नेटवर्क पर कुल 1,700 सेंसर-गेटवे को सफलतापूर्वक बंद करने के लिए फ़क्सनेट का उपयोग किया और इस प्रक्रिया में इन गेटवे से जुड़े लगभग 87,000 सेंसर को निष्क्रिय कर दिया।

हाल ही में ब्लैकजैक के हमले की जांच करने वाली आईसीएस सुरक्षा फर्म क्लारोटी में भेद्यता अनुसंधान के निदेशक शेरोन ब्रिज़िनोव कहते हैं, "फक्सनेट आईसीएस मैलवेयर की मुख्य कार्यक्षमता सेंसर गेटवे तक पहुंच को दूषित और अवरुद्ध कर रही थी, और भौतिक सेंसर को भी भ्रष्ट करने की कोशिश कर रही थी।" ब्रिज़िनोव का कहना है कि हमले के परिणामस्वरूप, मोस्कोलेक्टर को हजारों प्रभावित उपकरणों में से प्रत्येक तक भौतिक रूप से पहुंचना होगा और उन्हें व्यक्तिगत रूप से बदलना होगा। "मॉस्को के चारों ओर सीवेज सिस्टम की निगरानी और संचालन करने की [मॉस्कोलेक्टर की] क्षमता को बहाल करने के लिए, उन्हें पूरे सिस्टम को खरीदने और रीसेट करने की आवश्यकता होगी।"

कापेका और फ़क्सनेट रूस और यूक्रेन के बीच संघर्ष के व्यापक साइबर परिणाम के उदाहरण हैं। चूंकि दोनों देशों के बीच फरवरी 2022 में युद्ध शुरू हुआ था - और उससे भी काफी पहले - दोनों पक्षों के हैकर समूहों ने एक-दूसरे के खिलाफ कई प्रकार के मैलवेयर टूल विकसित और उपयोग किए थे। वाइपर और रैंसमवेयर सहित कई उपकरण, प्रकृति में विनाशकारी या विघटनकारी रहे हैं और मुख्य रूप से दोनों देशों में महत्वपूर्ण बुनियादी ढांचे, आईसीएस और ओटी वातावरण को लक्षित किया गया।

लेकिन कई मौकों पर, दोनों देशों के बीच लंबे समय से चले आ रहे संघर्ष से उपजे उपकरणों से हमले हुए हैं पीड़ितों के व्यापक समूह को प्रभावित किया. सबसे उल्लेखनीय उदाहरण NotPetya है, एक मैलवेयर उपकरण जिसे सैंडवॉर्म समूह ने मूल रूप से यूक्रेन में उपयोग के लिए विकसित किया था, लेकिन जिसने 2017 में दुनिया भर में हजारों सिस्टम को प्रभावित किया। 2023 में, यूके का राष्ट्रीय साइबर सुरक्षा केंद्र (एनसीएससी) और अमेरिकी राष्ट्रीय सुरक्षा एजेंसी (एनएसए) ने "कुख्यात चिज़ल" नामक सैंडवॉर्म मैलवेयर टूलसेट के बारे में चेतावनी दी, जो हर जगह एंड्रॉइड उपयोगकर्ताओं के लिए खतरा पैदा कर रहा है।

कापेका: ग्रेएनर्जी के लिए एक सैंडवर्म प्रतिस्थापन?

विदसिक्योर के अनुसार, कपेका एक नया बैकडोर है जिसे हमलावर प्रारंभिक चरण टूलकिट के रूप में और पीड़ित सिस्टम पर दीर्घकालिक दृढ़ता को सक्षम करने के लिए उपयोग कर सकते हैं। मैलवेयर में लक्ष्य मशीन पर पिछले दरवाजे को गिराने और फिर खुद को हटाने के लिए एक ड्रॉपर घटक शामिल होता है। विदसिक्योर के एक शोधकर्ता मोहम्मद काज़म हसन नेजाद कहते हैं, "कपेका सभी बुनियादी कार्यात्मकताओं का समर्थन करता है जो इसे पीड़ित की संपत्ति में एक लचीले पिछले दरवाजे के रूप में काम करने की अनुमति देता है।"

इसकी क्षमताओं में डिस्क से फ़ाइलों को पढ़ना और लिखना, शेल कमांड निष्पादित करना और दुर्भावनापूर्ण पेलोड और लाइव-ऑफ-द-लैंड बायनेरिज़ सहित प्रक्रियाओं को लॉन्च करना शामिल है। नेजाद कहते हैं, "प्रारंभिक पहुंच प्राप्त करने के बाद, कापेका का ऑपरेटर पीड़ित की मशीन पर विभिन्न प्रकार के कार्य करने के लिए पिछले दरवाजे का उपयोग कर सकता है, जैसे कि खोज, अतिरिक्त मैलवेयर तैनात करना और उनके हमले के अगले चरणों का मंचन करना।"

नेजाद के अनुसार, विथसिक्योर सैंडवॉर्म और समूह के बीच संबंध का सुझाव देने वाले सबूत ढूंढने में सक्षम था ग्रेएनर्जी मैलवेयर 2018 में यूक्रेन के पावर ग्रिड पर हमलों में इस्तेमाल किया गया था। "हमारा मानना ​​​​है कि कापेका सैंडवॉर्म के शस्त्रागार में ग्रेएनर्जी का प्रतिस्थापन हो सकता है," नेजाद कहते हैं। हालाँकि दोनों मैलवेयर नमूने एक ही स्रोत कोड से उत्पन्न नहीं हुए हैं, कपेका और ग्रेएनर्जी के बीच कुछ वैचारिक ओवरलैप हैं, जैसे ग्रेएनर्जी और इसके पूर्ववर्ती के बीच कुछ ओवरलैप थे, BlackEnergy. नेजाद कहते हैं, "इससे पता चलता है कि सैंडवॉर्म ने बदलते खतरे के परिदृश्य के अनुकूल समय के साथ अपने शस्त्रागार को नए टूलींग के साथ उन्नत किया होगा।"

फ़क्सनेट: विघ्न डालने और नष्ट करने का एक उपकरण

इस बीच, क्लैरिटी के ब्रिज़िनोव ने फ़क्सनेट की पहचान आईसीएस मैलवेयर के रूप में की है, जिसका उद्देश्य विशिष्ट रूसी-निर्मित सेंसर उपकरण को नुकसान पहुंचाना है। मैलवेयर उन गेटवे पर तैनात करने के लिए है जो फायर अलार्म, गैस मॉनिटरिंग, प्रकाश व्यवस्था और इसी तरह के उपयोग के मामलों के लिए भौतिक सेंसर से डेटा की निगरानी और संग्रह करते हैं।

ब्रिज़िनोव कहते हैं, "एक बार जब मैलवेयर तैनात हो जाता है, तो यह अपने NAND चिप को ओवरराइट करके और बाहरी रिमोट एक्सेस क्षमताओं को अक्षम करके गेटवे को बंद कर देगा, जिससे ऑपरेटरों को डिवाइस को दूर से नियंत्रित करने से रोका जा सकेगा।"  

फिर एक अलग मॉड्यूल भौतिक सेंसरों को बेकार एम-बस ट्रैफ़िक से भरने का प्रयास करता है। एम-बस गैस, पानी, बिजली और अन्य मीटरों को दूर से पढ़ने के लिए एक यूरोपीय संचार प्रोटोकॉल है। ब्रिज़िनोव कहते हैं, "ब्लैकजैक के फ़क्सनेट आईसीएस मैलवेयर का एक मुख्य उद्देश्य सेंसर गेटवे तक पहुंच प्राप्त करने के बाद भौतिक सेंसर पर हमला करना और उन्हें नष्ट करना है।" ऐसा करने के लिए, ब्लैकजैक ने सेंसरों को असीमित संख्या में एम-बस पैकेट भेजकर उन्हें निष्क्रिय करने का विकल्प चुना। "संक्षेप में, ब्लैकजैक को उम्मीद थी कि सेंसर को यादृच्छिक एम-बस पैकेट भेजने से, पैकेट उन पर हावी हो जाएंगे और संभावित रूप से एक भेद्यता को ट्रिगर करेंगे जो सेंसर को भ्रष्ट कर देगा और उन्हें निष्क्रिय स्थिति में डाल देगा," वे कहते हैं।

ऐसे हमलों से बचने के लिए संगठनों के लिए मुख्य उपाय सुरक्षा की बुनियादी बातों पर ध्यान देना है। उदाहरण के लिए, ऐसा प्रतीत होता है कि ब्लैकजैक ने उपकरणों पर कमजोर क्रेडेंशियल्स का दुरुपयोग करके लक्ष्य सेंसर-गेटवे तक रूट पहुंच प्राप्त कर ली है। हमला इस बात पर प्रकाश डालता है कि "एक अच्छी पासवर्ड नीति को बनाए रखना क्यों महत्वपूर्ण है, यह सुनिश्चित करना कि डिवाइस समान क्रेडेंशियल साझा न करें या डिफ़ॉल्ट का उपयोग न करें," वे कहते हैं। "अच्छे नेटवर्क स्वच्छता और विभाजन को तैनात करना भी महत्वपूर्ण है, जिससे यह सुनिश्चित हो सके कि हमलावर नेटवर्क के अंदर आगे बढ़ने में सक्षम नहीं होंगे, और अपने मैलवेयर को सभी किनारे के उपकरणों पर तैनात नहीं कर पाएंगे।"

समय टिकट:

से अधिक डार्क रीडिंग