रूसी सोलरविंड गुनहगारों ने जासूसी साइबर हमलों का ताजा बैराज लॉन्च किया

यूक्रेन के अपने चल रहे आक्रमण के हिस्से के रूप में, रूसी खुफिया ने एक बार फिर हैकर समूह नोबेलियम/एपीटी29 की सेवाओं को सूचीबद्ध किया है, इस बार विदेशी मंत्रालयों और नाटो-सदस्य राज्यों के राजनयिकों के साथ-साथ यूरोपीय संघ और अफ्रीका में अन्य लक्ष्यों पर जासूसी करने के लिए .

समय भी कनाडा के बुनियादी ढांचे पर हमलों की एक बाढ़ के साथ मेल खाता है, जिसे रूस से भी जुड़ा हुआ माना जाता है।

पोलिश सैन्य प्रतिवाद सेवा और पोलैंड में CERT टीम ने 13 अप्रैल को खतरे के बारे में जासूसी अभियान के संभावित लक्ष्यों को चेतावनी देने वाले समझौते के संकेतकों के साथ एक अलर्ट जारी किया। Nobelium, जैसा कि समूह को Microsoft द्वारा निर्दिष्ट किया गया है, जिसका नाम भी है मैंडिएंट द्वारा APT29, राष्ट्र-राज्य जासूसी खेल के लिए नया नहीं है, कुख्यात के पीछे समूह था सोलरवाइंड श्रृंखला हमले की आपूर्ति करते हैं लगभग तीन साल पहले।

अब, APT29 मैलवेयर टूल के एक पूरे नए सेट के साथ वापस आ गया है और यूक्रेन के समर्थक देशों के राजनयिक कोर में घुसपैठ करने के लिए मार्चिंग ऑर्डर की सूचना दी है, पोलिश सेना और सीईआरटी अलर्ट ने समझाया।

APT29 नए ऑर्डर के साथ वापस आ गया है

पोलिश अलर्ट के अनुसार, हर उदाहरण में, एडवांस्ड परसिस्टेंट थ्रेट (APT) एक सुविचारित भाला-फ़िशिंग ईमेल के साथ अपना हमला शुरू करता है।

अधिकारियों ने समझाया, "यूरोपीय देशों के दूतावासों का प्रतिरूपण करने वाले ईमेल राजनयिक पदों पर चयनित कर्मियों को भेजे गए थे।" "पत्राचार में एक बैठक या दस्तावेजों पर एक साथ काम करने का निमंत्रण था।"

संदेश तब प्राप्तकर्ता को एक लिंक पर क्लिक करने या राजदूत के कैलेंडर तक पहुंचने के लिए एक पीडीएफ डाउनलोड करने, या मीटिंग विवरण प्राप्त करने के लिए निर्देशित करेगा - दोनों खतरे समूह की "हस्ताक्षर स्क्रिप्ट" से भरी हुई दुर्भावनापूर्ण साइट पर लक्ष्य भेजते हैं, जिसे रिपोर्ट के रूप में पहचाना जाता है "एनविस्काउट।"

"मैंयह HTML-तस्करी तकनीक का उपयोग करता है - जिससे पृष्ठ पर रखी गई एक दुर्भावनापूर्ण फ़ाइल को जावास्क्रिप्ट का उपयोग करके डीकोड किया जाता है जब पृष्ठ खोला जाता है और फिर पीड़ित के डिवाइस पर डाउनलोड किया जाता है," पोलिश अधिकारियों ने कहा। "यह दुर्भावनापूर्ण फ़ाइल को सर्वर साइड पर पता लगाने में अधिक कठिन बनाता है जहां इसे संग्रहीत किया जाता है।"

अलर्ट में कहा गया है कि दुर्भावनापूर्ण साइट लक्ष्य को एक संदेश भेजकर आश्वस्त करती है कि उन्होंने सही फ़ाइल डाउनलोड की है।

स्लैशनेक्स्ट के सीईओ पैट्रिक हैर ने अभियान के बारे में डार्क रीडिंग को बताया, "स्पीयर-फ़िशिंग हमले तब सफल होते हैं जब संचार अच्छी तरह से लिखे जाते हैं, लक्ष्य के साथ परिचितता प्रदर्शित करने के लिए व्यक्तिगत जानकारी का उपयोग करते हैं, और एक वैध स्रोत से आते हैं।" "यह जासूसी अभियान सफलता के सभी मानदंडों को पूरा करता है।"

एक फ़िशिंग ईमेलउदाहरण के लिए, पोलिश दूतावास का प्रतिरूपण किया, और, दिलचस्प रूप से, देखे गए अभियान के दौरान, Envyscout टूल को आपत्तिजनक सुधारों के साथ तीन बार ट्वीक किया गया, पोलिश अधिकारियों ने नोट किया।

एक बार समझौता करने के बाद, समूह स्नोयाम्बर डाउनलोडर, हाफ्रिग के संशोधित संस्करणों का उपयोग करता है, जो चलता है कोबाल्ट हड़ताल पोलिश अलर्ट ने कहा कि एम्बेडेड कोड के रूप में, और क्वार्टर्रिग, जो हाफ्रिग के साथ कोड साझा करता है।

"हम इन हमलों में वृद्धि देख रहे हैं जहां खराब अभिनेता सफलता को समायोजित करने और सुधारने के अभियान में कई चरणों का उपयोग करता है," हैर कहते हैं। "वे ऑटोमेशन और मशीन लर्निंग तकनीकों को नियोजित करते हैं ताकि यह पता लगाया जा सके कि क्या पता लगाना है और सफलता में सुधार के लिए बाद के हमलों को संशोधित करना है।"
पोलिश साइबर सुरक्षा अधिकारियों के अनुसार, सरकारों, राजनयिकों, अंतर्राष्ट्रीय संगठनों और गैर-सरकारी संगठनों (एनजीओ) को इसके लिए और अन्य रूसी जासूसी प्रयासों के लिए हाई अलर्ट पर रहना चाहिए।

अधिकारियों ने कहा, "सैन्य प्रतिवाद सेवा और सीईआरटी.पीएल दृढ़ता से अनुशंसा करते हैं कि अभिनेता के हित के क्षेत्र में हो सकने वाली सभी संस्थाएं वर्णित अभियान में उपयोग किए गए वितरण तंत्र को बाधित करने के लिए कॉन्फ़िगरेशन परिवर्तन लागू करें।"

कनाडा के बुनियादी ढांचे पर रूस से जुड़े हमले

पोलिश साइबर सुरक्षा अधिकारियों की चेतावनियों के अलावा, पिछले सप्ताह के दौरान, कनाडा के प्रधान मंत्री जस्टिन ट्रूडो ने हाल ही में हुई घटनाओं के बारे में सार्वजनिक बयान दिया। रूस से जुड़े साइबर हमले सहित कनाडा के बुनियादी ढांचे के उद्देश्य से सेवा हमलों का इनकार हाइड्रो पर-क्यूबेक, विद्युत उपयोगिता, ट्रूडो के कार्यालय के लिए वेबसाइट, पोर्ट ऑफ क्यूबैक, तथा लॉरेंटियन बैंक। ट्रूडो ने कहा कि साइबर हमले कनाडा के यूक्रेन के समर्थन से संबंधित हैं।

"ट्रूडो ने कहा, सरकारी वेबसाइटों पर सेवा से इनकार के कुछ हमले, उन्हें कुछ घंटों के लिए नीचे ला रहे हैं, हमें यूक्रेन का समर्थन करने के लिए जो कुछ भी करना है, उसके बारे में हमारे असमान रुख पर पुनर्विचार करने का कारण नहीं बनने वाला है। , रिपोर्टों के मुताबिक.

कैनेडियन सेंटर फॉर साइबर सिक्योरिटी के प्रमुख, सामी खुरे ने पिछले सप्ताह एक संवाददाता सम्मेलन में कहा था कि हालांकि कनाडा के बुनियादी ढांचे को कोई नुकसान नहीं हुआ है, "खतरा वास्तविक है।" कनाडाई लोगों तक पहुंच, स्वास्थ्य देखभाल प्रदान करना, या आम तौर पर ऐसी कोई भी सेवा संचालित करना जिसके बिना कनाडाई काम नहीं कर सकते, आपको अपने सिस्टम की रक्षा करनी चाहिए," खुरे ने कहा। "अपने नेटवर्क की निगरानी करें। शमन लागू करें।

रूस के साइबर क्राइम के प्रयास जारी हैं

जैसा कि यूक्रेन पर रूस का आक्रमण अपने दूसरे वर्ष में है, वल्कन साइबर के साथ माइक पार्किन का कहना है कि हाल के अभियानों को शायद ही कोई आश्चर्य होना चाहिए।

"साइबर सुरक्षा समुदाय यूक्रेन में संघर्ष शुरू होने के बाद से इसके नतीजों और संपार्श्विक क्षति को देख रहा है, और हम जानते हैं कि रूसी और समर्थक रूसी खतरे वाले अभिनेता पश्चिमी लक्ष्यों के खिलाफ सक्रिय थे," पार्किन कहते हैं। "साइबर आपराधिक गतिविधि के स्तरों को ध्यान में रखते हुए हम पहले से ही काम कर रहे थे, [ये हैं] बस कुछ नए उपकरण और नए लक्ष्य - और यह सुनिश्चित करने के लिए एक अनुस्मारक कि हमारे बचाव अद्यतित हैं और ठीक से कॉन्फ़िगर किए गए हैं।

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• मिंटिंग द फ्यूचर डब्ल्यू एड्रिएन एशले। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/vulnerabilities-threats/russian-intel-services-behind-barrage-espionage-cyberattacks