LABSCON - स्कॉट्सडेल, एरिज़। - एक नया खतरा अभिनेता जिसने मध्य पूर्व में एक दूरसंचार कंपनी और मध्य पूर्व और अफ्रीका में कई इंटरनेट सेवा प्रदाताओं और विश्वविद्यालयों को संक्रमित किया है, दो "बेहद जटिल" मैलवेयर प्लेटफार्मों के लिए जिम्मेदार है - लेकिन इसके बारे में बहुत कुछ आज यहां सामने आए नए शोध के अनुसार रहस्य में डूबा एक समूह।
SentintelLabs के शोधकर्ताओं, जिन्होंने पहली बार LabsCon सुरक्षा सम्मेलन में अपने निष्कर्षों को साझा किया, समूह मेटाडोर नाम दिया, जो "मैं मेटा हूं" वाक्यांश के आधार पर दुर्भावनापूर्ण कोड में प्रकट होता है और तथ्य यह है कि सर्वर संदेश आमतौर पर स्पेनिश में होते हैं। माना जाता है कि यह समूह दिसंबर 2020 से सक्रिय है, लेकिन पिछले कुछ वर्षों में यह सफलतापूर्वक रडार के नीचे चला गया है। सेंटिनललैब्स के वरिष्ठ निदेशक जुआन एंड्रेस ग्युरेरो-साडे ने कहा कि टीम ने अन्य सुरक्षा फर्मों और सरकारी भागीदारों के शोधकर्ताओं के साथ मेटाडोर के बारे में जानकारी साझा की, लेकिन किसी को भी समूह के बारे में कुछ नहीं पता था।
ग्युरेरो-साडे और सेंटिनल लैब्स के शोधकर्ता अमिताई बेन शुशन एर्लिच और अलेक्जेंडर मिलेंकोस्की ने प्रकाशित किया ब्लॉग पोस्ट और तकनीकी जानकारी दो मैलवेयर प्लेटफॉर्म, मेटामेन और माफल्डा के बारे में, और अधिक पीड़ितों को खोजने की उम्मीद में जो संक्रमित हुए हैं। "हम जानते थे कि वे कहाँ थे, न कि वे अब कहाँ हैं," ग्युरेरो-साडे ने कहा।
मेटामेन एक पिछला दरवाजा है जो माउस और कीबोर्ड गतिविधि को लॉग कर सकता है, स्क्रीनशॉट ले सकता है, और डेटा और फाइलों को बाहर निकाल सकता है। इसका उपयोग माफल्डा को स्थापित करने के लिए भी किया जा सकता है, जो एक उच्च मॉड्यूलर ढांचा है जो हमलावरों को सिस्टम और नेटवर्क जानकारी और अन्य अतिरिक्त क्षमताओं को एकत्र करने की क्षमता प्रदान करता है। मेटामेन और माफल्डा दोनों पूरी तरह से मेमोरी में काम करते हैं और सिस्टम की हार्ड ड्राइव पर खुद को स्थापित नहीं करते हैं।
राजनीतिक हास्य
माना जाता है कि मैलवेयर का नाम अर्जेंटीना के एक लोकप्रिय स्पेनिश भाषा के कार्टून माफ़ल्डा से प्रेरित है, जो नियमित रूप से राजनीतिक विषयों पर टिप्पणी करता है।
मेटाडोर प्रत्येक पीड़ित के लिए अद्वितीय आईपी पते सेट करता है, यह सुनिश्चित करता है कि भले ही एक कमांड और नियंत्रण खुला हो, बाकी बुनियादी ढांचा चालू रहता है। इससे अन्य पीड़ितों को ढूंढना भी बेहद मुश्किल हो जाता है। अक्सर ऐसा होता है कि जब शोधकर्ता हमले के बुनियादी ढांचे को उजागर करते हैं, तो उन्हें कई पीड़ितों से संबंधित जानकारी मिलती है - जो समूह की गतिविधियों की सीमा का पता लगाने में मदद करती है। चूंकि मेटाडोर अपने लक्षित अभियानों को अलग रखता है, शोधकर्ताओं के पास मेटाडोर के संचालन में केवल एक सीमित दृष्टिकोण है और समूह किस प्रकार के पीड़ितों को लक्षित कर रहा है।
हालांकि, समूह को जो नहीं लगता है, वह अन्य हमले समूहों के साथ मिल रहा है। शोधकर्ताओं ने पाया कि मध्य पूर्वी दूरसंचार कंपनी जो मेटाडोर के पीड़ितों में से एक थी, पहले से ही कम से कम 10 अन्य राष्ट्र-राज्य हमले समूहों द्वारा समझौता किया गया था। कई अन्य समूह चीन और ईरान से संबद्ध प्रतीत होते हैं।
एक ही सिस्टम को लक्षित करने वाले कई खतरे वाले समूहों को कभी-कभी "खतरों का चुंबक" कहा जाता है, क्योंकि वे विभिन्न समूहों और मैलवेयर प्लेटफार्मों को एक साथ आकर्षित और होस्ट करते हैं। कई राष्ट्र-राज्य अभिनेता अन्य समूहों द्वारा संक्रमण के निशान को दूर करने के लिए समय लेते हैं, यहां तक कि अन्य समूहों द्वारा इस्तेमाल की जाने वाली खामियों को दूर करने के लिए, अपनी खुद की हमला गतिविधियों को करने से पहले। तथ्य यह है कि मेटाडोर ने अन्य समूहों द्वारा पहले से ही समझौता (बार-बार) सिस्टम पर मैलवेयर संक्रमित किया है, यह बताता है कि समूह को इस बात की परवाह नहीं है कि अन्य समूह क्या करेंगे, सेंटिनललैब्स शोधकर्ताओं ने कहा।
यह संभव है कि दूरसंचार कंपनी इस तरह के उच्च-मूल्य वाले लक्ष्य के रूप में थी कि समूह का पता लगाने का जोखिम उठाने के लिए तैयार था क्योंकि एक ही सिस्टम पर कई समूहों की उपस्थिति से संभावना बढ़ जाती है कि पीड़ित को कुछ गलत दिखाई देगा।
शार्क हमला
जबकि समूह बहुत अच्छी तरह से संसाधन प्रतीत होता है - जैसा कि मैलवेयर की तकनीकी जटिलता, पता लगाने से बचने के लिए समूह की उन्नत परिचालन सुरक्षा, और तथ्य यह है कि यह सक्रिय विकास के अधीन है - ग्युरेरो-साडे ने चेतावनी दी कि यह पर्याप्त नहीं था यह निर्धारित करने के लिए कि राष्ट्र-राज्य की भागीदारी थी। यह संभव है कि मेटाडोर एक राष्ट्र-राज्य की ओर से काम करने वाले ठेकेदार का उत्पाद हो, क्योंकि संकेत हैं कि समूह अत्यधिक पेशेवर था, ग्युरेरो-साडे ने कहा। और सदस्यों को इस स्तर पर इस प्रकार के हमलों को अंजाम देने का पूर्व अनुभव हो सकता है, उन्होंने कहा।
शोधकर्ताओं ने लिखा, "हम पानी की सतह को तोड़ने वाले शार्क फिन के समान मेटाडोर की खोज पर विचार करते हैं, यह देखते हुए कि उन्हें पता नहीं है कि नीचे क्या हो रहा है। "यह पूर्वाभास का एक कारण है जो सुरक्षा उद्योग को खतरे वाले अभिनेताओं की वास्तविक ऊपरी परत का पता लगाने के लिए सक्रिय रूप से इंजीनियर की आवश्यकता को प्रमाणित करता है जो वर्तमान में नेटवर्क को दंड के साथ पार करते हैं।"
