रूसी खुफिया विभाग ने रैपिड-फायर साइबर हमलों में दुनिया भर में पीड़ितों को निशाना बनाया

रूसी राज्य हैकर्स चार महाद्वीपों में फैले कम से कम नौ देशों में लक्षित फ़िशिंग अभियान चला रहे हैं। उनके ईमेल आधिकारिक सरकारी व्यवसाय के बारे में बताते हैं और सफल होने पर न केवल संवेदनशील संगठनात्मक डेटा, बल्कि रणनीतिक महत्व की भू-राजनीतिक खुफिया जानकारी को भी खतरे में डालते हैं।

ऐसा परिष्कृत, बहुआयामी कथानक केवल उतना ही विपुल समूह ही बना सकता है फैंसी भालू (उर्फ एपीटी28, फ़ॉरेस्ट ब्लिज़ार्ड, फ्रोज़नलेक, सोफ़ेसी ग्रुप, स्ट्रोंटियम, यूएसी-028, और अभी भी कई अन्य उपनाम), जिसे आईबीएम एक्स-फ़ोर्स आईटीजी05 के रूप में ट्रैक करता है एक नई रिपोर्ट.

विश्वसनीय सरकारी-थीम वाले आकर्षण और कस्टम बैकडोर के तीन नए वेरिएंट के अलावा, यह अभियान अपने द्वारा लक्षित जानकारी के लिए सबसे अधिक महत्वपूर्ण है: ऐसा प्रतीत होता है कि फैंसी बियर का लक्ष्य रूसी सरकार के लिए उपयोग की अत्यधिक विशिष्ट जानकारी है।

सरकारी फ़िशिंग लालच

फैंसी बियर ने अर्जेंटीना, यूक्रेन, जॉर्जिया, बेलारूस, कजाकिस्तान, पोलैंड, आर्मेनिया, अजरबैजान और संयुक्त राज्य अमेरिका में संगठनों को लक्षित करने वाले अभियानों में कम से कम 11 अद्वितीय लालच का उपयोग किया है।

लालच अंतरराष्ट्रीय सरकारों से जुड़े आधिकारिक दस्तावेजों की तरह दिखते हैं, जिनमें वित्त, महत्वपूर्ण बुनियादी ढांचे, कार्यकारी व्यस्तताओं, साइबर सुरक्षा, समुद्री सुरक्षा, स्वास्थ्य देखभाल और रक्षा औद्योगिक उत्पादन जैसे व्यापक विषयों को शामिल किया गया है।

इनमें से कुछ वैध, सार्वजनिक रूप से सुलभ दस्तावेज़ हैं। दिलचस्प बात यह है कि अन्य, विशिष्ट सरकारी एजेंसियों के आंतरिक प्रतीत होते हैं, जिससे यह सवाल उठता है कि फैंसी बियर ने पहली बार उन पर अपना हाथ कैसे डाला।

IBM "चूंकि यह संभव है कि ITG05 ने आंतरिक दस्तावेज़ एकत्र करने के लिए अनधिकृत पहुंच का लाभ उठाया है, हमने अपनी जिम्मेदार प्रकटीकरण नीति के एक भाग के रूप में प्रकाशन से पहले गतिविधि के सभी नकली पक्षों को सूचित कर दिया है।"

वैकल्पिक रूप से, फैंसी बियर/आईटीजीओ5 ने केवल वास्तविक फाइलों की नकल की होगी। उन्होंने कहा, "उदाहरण के लिए, उजागर किए गए कुछ दस्तावेज़ों में ध्यान देने योग्य त्रुटियां हैं जैसे कि आधिकारिक सरकारी अनुबंधों में प्रमुख पार्टियों के नामों की गलत वर्तनी।"

एक संभावित मकसद?

इन लालचों का एक और महत्वपूर्ण गुण यह है कि वे काफी विशिष्ट हैं।

अंग्रेजी भाषा के उदाहरणों में एक जॉर्जियाई एनजीओ का साइबर सुरक्षा नीति पत्र और अमेरिकी नौसेना के प्रशांत हिंद महासागर शिपिंग वर्किंग ग्रुप (PACIOSWG) के प्रतिभागियों के लिए 2024 बैठक और अभ्यास बेल बॉय (XBB24) का विवरण देने वाला जनवरी यात्रा कार्यक्रम शामिल है।

और वित्त-थीम वाले आकर्षण हैं: यूरेशियन इकोनॉमिक यूनियन पहल के अनुरूप, 2025 तक अंतरराज्यीय उद्यम को सुविधाजनक बनाने के लिए वाणिज्यिक स्थितियां बनाने की सिफारिशों वाला एक बेलारूसी दस्तावेज़, सहायता के लिए "रणनीतिक दिशानिर्देश" की पेशकश करने वाला एक अर्जेंटीना अर्थव्यवस्था मंत्रालय का बजटीय नीति दस्तावेज़। राष्ट्रीय आर्थिक नीति के साथ राष्ट्रपति, और इस प्रकार और भी बहुत कुछ।

एक्स-फोर्स ने अभियान पर अपनी रिपोर्ट में कहा, "आईटीजी05 के स्थापित मिशन को देखते हुए यह संभव है कि बजट संबंधी चिंताओं और वैश्विक संस्थाओं की सुरक्षा स्थिति के संबंध में संवेदनशील जानकारी का संग्रह एक उच्च प्राथमिकता वाला लक्ष्य है।"

उदाहरण के लिए, अर्जेंटीना ने हाल ही में ब्रिक्स (ब्राजील, रूस, भारत, चीन, दक्षिण अफ्रीका) व्यापार संगठन में शामिल होने के निमंत्रण को अस्वीकार कर दिया है, इसलिए "यह संभव है कि आईटीजी05 ऐसी पहुंच प्राप्त करना चाहता है जिससे अर्जेंटीना सरकार की प्राथमिकताओं के बारे में जानकारी मिल सके।" , "एक्स-फोर्स ने कहा।

शोषण के बाद की गतिविधि

विशिष्टता और वैधता की उपस्थिति के अलावा, हमलावर पीड़ितों को फंसाने के लिए एक और मनोवैज्ञानिक चाल का उपयोग करते हैं: शुरुआत में उन्हें दस्तावेज़ के केवल धुंधले संस्करण के साथ प्रस्तुत करना। जैसा कि नीचे दी गई छवि में है, प्राप्तकर्ता यह जानने के लिए पर्याप्त विवरण देख सकते हैं कि ये दस्तावेज़ आधिकारिक और महत्वपूर्ण प्रतीत होते हैं, लेकिन इतना नहीं कि उन पर क्लिक करने से बचा जा सके।

नमूना लालच दस्तावेज़; स्रोत: आईबीएम

जब हमलावर-नियंत्रित साइटों पर पीड़ित लालच दस्तावेजों को देखने के लिए क्लिक करते हैं, तो वे "मासेपी" नामक एक पायथन बैकडोर डाउनलोड करते हैं। पहली बार दिसंबर में खोजा गया, यह विंडोज़ मशीन में दृढ़ता स्थापित करने और फ़ाइलों को डाउनलोड करने और अपलोड करने और मनमाने ढंग से कमांड निष्पादन को सक्षम करने में सक्षम है।

मैसेपी द्वारा संक्रमित मशीनों पर डाउनलोड की जाने वाली फ़ाइलों में से एक "ओशनमैप" है, जो इंटरनेट मैसेज एक्सेस प्रोटोकॉल (आईएमएपी) के माध्यम से कमांड निष्पादन के लिए एक सी#-आधारित उपकरण है। ओशनमैप का मूल संस्करण - जो यहां उपयोग नहीं किया गया है - में सूचना-चोरी की कार्यक्षमता थी, जिसे बाद में इस अभियान से जुड़े अन्य मासेपी-डाउनलोड किए गए पेलोड "स्टीलहुक" में स्थानांतरित कर दिया गया है।

स्टीलहुक एक पॉवरशेल स्क्रिप्ट है जिसका काम Google Chrome और Microsoft Edge से वेबहुक के माध्यम से डेटा को बाहर निकालना है।

इसके मैलवेयर से अधिक उल्लेखनीय फैंसी बियर की कार्रवाई की तात्कालिकता है। जैसा पहले वर्णित यूक्रेन की कंप्यूटर आपातकालीन प्रतिक्रिया टीम (सीईआरटी-यूए) द्वारा, पीड़ित मशीन पर उतरने के पहले घंटे के साथ फैंसी भालू संक्रमण, बैकडोर डाउनलोड करें और रिले हमलों के लिए चुराए गए एनटीएलएमवी2 हैश के माध्यम से टोही और पार्श्व आंदोलन का संचालन करें।

इसलिए संभावित पीड़ितों को तुरंत कार्रवाई करने की ज़रूरत है या इससे भी बेहतर, अपने संक्रमण के लिए पहले से तैयारी करने की ज़रूरत है। वे आईबीएम की सिफारिशों की लॉन्ड्री सूची का पालन करके ऐसा कर सकते हैं: फैंसी बियर के होस्टिंग प्रदाता, फर्स्टक्लाउडआईटी द्वारा दिए गए यूआरएल के साथ ईमेल की निगरानी करना, और अज्ञात सर्वर पर संदिग्ध आईएमएपी ट्रैफ़िक, इसकी पसंदीदा कमजोरियों को संबोधित करना - जैसे सीवीई-2024-21413, सीवीई-2024 -21410, सीवीई-2023-23397, सीवीई-2023-35636 - और भी बहुत कुछ।

शोधकर्ताओं ने निष्कर्ष निकाला, "आईटीजी05 रूस को उभरते नीतिगत निर्णयों में उन्नत अंतर्दृष्टि प्रदान करने के लिए विश्व सरकारों और उनके राजनीतिक तंत्र के खिलाफ हमलों का लाभ उठाना जारी रखेगा।"

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/threat-intelligence/russian-intelligence-targets-victims-worldwide-in-rapid-fire-cyberattacks