यह टिक एयरगैप के जरिए उड़ सकता है

पढ़ने का समय: 4 मिनट

एयरगैप्ड मशीन एक ऐसा कंप्यूटर है जो इतना अधिक सुरक्षित होता है कि इसका किसी भी नेटवर्क से कोई भौतिक या डिजिटल कनेक्शन नहीं होता है। वे आम तौर पर सावधानीपूर्वक निगरानी की गई भौतिक पहुंच के साथ डेटासेंटर और सर्वर रूम में भी भारी रूप से सुरक्षित होते हैं। एक एयरगैप्ड मशीन में नया डेटा डालने के लिए, आम तौर पर एक साइबर अपराधी को उस सुविधा का भौतिक रूप से उल्लंघन करना होगा जिसमें वह मौजूद है और अपने हमले के लिए किसी प्रकार के बाहरी या हटाने योग्य मीडिया का उपयोग करना होगा, जैसे ऑप्टिकल डिस्क, यूएसबी ड्राइव, या बाहरी हार्ड डिस्क . एयरगैप्ड मशीनों का उपयोग करना वास्तव में असुविधाजनक है, इसलिए कंप्यूटर आमतौर पर केवल एयरगैप्ड होते हैं यदि वे बहुत, बहुत संवेदनशील डेटा को संभालते हैं। यह उन्हें हमलावरों के लिए विशेष रूप से आकर्षक लक्ष्य बनाता है। यदि एक एयरगैप्ड मशीन एक पर्स होती, तो यह एक होती हर्मेस सफेद हिमालय मगरमच्छ हीरा बिर्किन बैग जबकि एक सामान्य क्लाइंट मशीन होगी मेरे प्रिय टोकिडोकी बैगों में से एक. (वैसे, मुझे अपने टोकिडोकी बैग बहुत पसंद हैं।)

पालो ऑल्टो नेटवर्क यूनिट 42 एयरगैप्ड मशीनों के लिए एक नए हमले के संकेत मिले। टिक एक साइबर जासूसी समूह है जिसने दक्षिण कोरिया और जापान में संस्थाओं को लक्षित किया है। एक कोरियाई रक्षा ठेकेदार है जो बहुत विशिष्ट तरीके से यूएसबी ड्राइव बनाता है आईटी सुरक्षा प्रमाणन केंद्र कोरियाई सार्वजनिक क्षेत्र और निजी क्षेत्र के उद्यम ग्राहकों के लिए दिशानिर्देश। यूनिट 42 ने पाया कि कम से कम एक यूएसबी ड्राइव पर बहुत सावधानी से तैयार किया गया मैलवेयर है। लेकिन यूनिट 42 के शोधकर्ताओं के पास भौतिक रूप से कोई भी क्षतिग्रस्त यूएसबी ड्राइव नहीं है। किसी बाहरी पक्ष के लिए पहली बार में उन उपकरणों में से किसी एक पर मैलवेयर प्राप्त करना कठिन होना चाहिए। यूनिट 42 मैलवेयर SymonLoader को कॉल करता है, और यह विशेष रूप से Windows XP और Windows Server 2003 की कमजोरियों का फायदा उठाता है।

इसलिए टिक विंडोज़ के उन संस्करणों के साथ एयरगैप्ड मशीनों पर हमला करने की कोशिश कर रहा है जो लंबे समय से समर्थित नहीं हैं। क्या इनमें से बहुत सारी एयरगैप्ड मशीनें पुराने ऑपरेटिंग सिस्टम चलाती हैं? इसकी अत्यधिक संभावना है कि SymonLoader को विकसित करना शुरू करने से पहले टिक ने अपने लक्ष्यों की सावधानीपूर्वक फिंगरप्रिंटिंग की हो।

यहां हमले का परिदृश्य है जिसकी इकाई 42 परिकल्पना करती है। टिक ने किसी तरह इनमें से कुछ अत्यधिक सुरक्षित यूएसबी ड्राइव हासिल कर लीं और उनसे समझौता कर लिया। जब भी वे उन तक पहुंच प्राप्त कर सकते हैं तो वे अपना SymonLoader मैलवेयर उन पर डाल देते हैं। एक बार जब एक समझौता किए गए ड्राइव को लक्षित एयरगैप्ड विंडोज एक्सपी या विंडोज सर्वर 2003 मशीन में माउंट किया जाता है, तो साइमनलोडर उन कमजोरियों का फायदा उठाता है जो केवल उन ऑपरेटिंग सिस्टम से संबंधित होती हैं। जबकि SymonLoader मेमोरी में है, यदि अधिक सुरक्षित USB ड्राइव को फ़ाइल सिस्टम में माउंट किया हुआ पाया जाता है, तो यह फ़ाइल सिस्टम एक्सेस के लिए डिज़ाइन किए गए API का उपयोग करके अज्ञात दुर्भावनापूर्ण फ़ाइल को लोड करने का प्रयास करेगा। यह बहुत विशिष्ट लक्ष्यों के लिए विशेष रूप से डिज़ाइन किए गए मैलवेयर का चक्र है! यह कस्टम अनुरूप हाउते कॉउचर विंडोज़ मैलवेयर है! यह मेरे जैसे छोटे लोगों के लिए बहुत विशिष्ट है! (मैं वैसे भी वर्तमान में समर्थित लिनक्स मिंट का उपयोग करता हूं।) क्योंकि यूनिट 42 के पास कोई भी समझौता किए गए ड्राइव नहीं हैं, वे केवल अनुमान लगा सकते हैं कि ड्राइव कैसे संक्रमित हुई हैं और उन्हें उनके लक्ष्य तक कैसे पहुंचाया गया है।

टिक को वैध अनुप्रयोगों को ट्रोजन में बदलने के लिए जाना जाता है। यहाँ यूनिट 42 में क्या लिखा है होममडाउनलोडर पिछली गर्मियां:

“होममडाउनलोडर तकनीकी दृष्टिकोण से न्यूनतम दिलचस्प विशेषताओं वाला एक छोटा डाउनलोडर प्रोग्राम है। होममडाउनलोडर को टिक द्वारा एक स्पीयरफ़िशिंग ईमेल के माध्यम से वितरित किया गया पाया गया। लक्ष्य और उनके व्यवहार को समझने के बाद प्रतिद्वंद्वी ने विश्वसनीय ईमेल और अनुलग्नक तैयार किया...

सोशल इंजीनियरिंग ईमेल तकनीक के अलावा, हमलावर अटैचमेंट के लिए एक तरकीब भी अपनाता है। अभिनेता ने फ़ाइल एन्क्रिप्शन टूल द्वारा बनाई गई वैध SFX फ़ाइल के संसाधन अनुभाग में दुर्भावनापूर्ण कोड एम्बेड किया, और SFX प्रोग्राम शुरू होने के तुरंत बाद दुर्भावनापूर्ण कोड पर जाने के लिए प्रोग्राम के प्रवेश बिंदु को संशोधित किया। दुर्भावनापूर्ण कोड HommDownloader को गिरा देता है, फिर कोड अनुभाग में नियमित प्रवाह पर वापस चला जाता है, जो बदले में उपयोगकर्ता से पासवर्ड पूछता है और फ़ाइल को डिक्रिप्ट करता है। इसलिए, एक बार जब कोई उपयोगकर्ता अनुलग्नक निष्पादित करता है और एसएफएक्स पर पासवर्ड संवाद देखता है, तो दुर्भावनापूर्ण कोड द्वारा छोड़ा गया डाउनलोडर काम करना शुरू कर देता है, भले ही उपयोगकर्ता पासवर्ड विंडो पर रद्द करें का चयन करता हो।

अब SymonLoader पर लौटने का समय आ गया है। एक बार जब SymonLoader के साथ एक USB ड्राइव को टिक के लक्ष्यों में से एक में स्थापित किया जाता है, तो यह उपयोगकर्ता को कुछ प्रकार के सॉफ़्टवेयर के ट्रोजन संस्करण का उपयोग करके इसे निष्पादित करने का प्रयास करता है जिसे उपयोगकर्ता अपने वातावरण में इंस्टॉल करना चाहता है। एक बार निष्पादित होने के बाद, SymonLoader अन्य सुरक्षित यूएसबी ड्राइव की तलाश करता है, जब वे फ़ाइल सिस्टम में माउंट किए जाते हैं।

SymonLoader एक विशेष सुरक्षित USB ड्राइव से एक छिपी हुई निष्पादन योग्य फ़ाइल को निकालता है और फिर उसे निष्पादित करता है। यूनिट 42 के शोधकर्ताओं के पास स्वयं जांचने के लिए फ़ाइल की एक प्रति नहीं है। लेकिन उन्हें पूरा विश्वास है कि इस हमले के पीछे टिक का हाथ है क्योंकि उन्हें शेलकोड मिला है जो शेलकोड से मिलता जुलता है जिसे समूह पहले उपयोग करने के लिए जानता था।

SymonLoader मशीन को Windows के उसके संस्करण के लिए जांचता है और यदि यह Windows Server 2003 या Windows XP से नया है, तो यह कुछ और करने का प्रयास करना बंद कर देता है। मुझे लगता है कि विंडोज़ विस्टा इसका क्रिप्टोनाइट है। यदि मशीन का ओएस विंडोज एक्सपी या विंडोज सर्वर 2003 है, तो एक छिपी हुई विंडो निष्पादित होती है जो माउंटेड ड्राइव की लगातार जांच करती है क्योंकि वे फ़ाइल सिस्टम का हिस्सा बन जाते हैं। SymonLoader यह सत्यापित करने के लिए SCSI INQUIRY कमांड का उपयोग करता है कि क्या कोई भी नई माउंटेड ड्राइव विशेष रूप से सुरक्षित डिवाइस मॉडल की है जिसे वे ढूंढ रहे हैं। यदि पैरामीटर कभी मेल खाते हैं, तो SymonLoader एक निकालता है अज्ञात फ़ाइल USB ड्राइव से.

SymonLoader कैसे व्यवहार करता है या क्यों करता है, इसके बारे में अभी बहुत कुछ ज्ञात नहीं है यूनिट 42 ने यह लिखा:

“हालांकि हमारे पास सुरक्षित यूएसबी पर छिपी हुई फ़ाइल की एक प्रति नहीं है, हमारे पास यह निर्धारित करने के लिए पर्याप्त जानकारी है कि यह संभावित रूप से दुर्भावनापूर्ण है। एक सुरक्षित यूएसबी ड्राइव को हथियार बनाना एक असामान्य तकनीक है और संभवतः एयरगैप्ड सिस्टम से समझौता करने के प्रयास में किया जाता है, जो सिस्टम हैं जो सार्वजनिक इंटरनेट से कनेक्ट नहीं होते हैं। कुछ उद्योग या संगठन सुरक्षा कारणों से एयर गैपिंग शुरू करने के लिए जाने जाते हैं। इसके अलावा, इंटरनेट कनेक्टिविटी के बिना आसान अपडेट समाधान नहीं होने के कारण उन वातावरणों में अक्सर पुराने संस्करण ऑपरेटिंग सिस्टम का उपयोग किया जाता है। जब उपयोगकर्ता बाहरी सर्वर से कनेक्ट करने में सक्षम नहीं होते हैं, तो वे डेटा एक्सचेंज के लिए भौतिक भंडारण उपकरणों, विशेष रूप से यूएसबी ड्राइव पर निर्भर होते हैं। इस ब्लॉग में चर्चा की गई SymonLoader और सुरक्षित USB ड्राइव इस परिस्थिति के लिए उपयुक्त हो सकती है।

यह कुछ मैकगाइवर-स्तरीय मैलवेयर विकास और वितरण है। यह जानना दिलचस्प और ज्ञानवर्धक होगा कि टिक के विशिष्ट लक्ष्य कौन हैं, क्योंकि यह स्पष्ट है कि वे वास्तव में उनसे कुछ चाहते हैं।

निशुल्क आजमाइश शुरु करें मुफ़्त के लिए अपनी सुरक्षा स्कोर प्राप्त करें

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• स्रोत: https://blog.comodo.com/comodo-news/tick-infecting-airgap-machines/