सोलरविंड्स हमलावरों ने राजनयिकों की जासूसी करने के लिए बीएमडब्ल्यू का सहारा लिया

कुख्यात सोलरविंड्स हमले के पीछे रूस समर्थित समूह यूक्रेन में दूतावासों में काम करने वाले विदेशी राजनयिकों की "आश्चर्यजनक संख्या" को लालच देकर लक्षित कर रहा है, जो पारंपरिक राजनीतिक तरीकों से थोड़ा अधिक व्यक्तिगत है, जो आमतौर पर उन्हें दुर्भावनापूर्ण लिंक पर क्लिक करने के लिए लुभाने के लिए उपयोग किया जाता है।

पालो अल्टो नेटवर्क्स यूनिट 42 के शोधकर्ताओं ने समूह का अवलोकन किया - जिसे वे ट्रैक करते हैं लबादा उर्स लेकिन जिसे नोबेलियम/एपीटी29 के नाम से जाना जाता है - चारों ओर घूमने के लिए एक वाहन।

अभियान में प्रारंभिक आकर्षण कीव में प्रयुक्त बीएमडब्ल्यू सेडान की बिक्री के लिए एक वैध फ़्लायर का उपयोग करना प्रतीत हुआ, जिसे पोलिश विदेश मंत्रालय के एक राजनयिक द्वारा विभिन्न दूतावासों में फैलाया गया था। हालांकि यह काफी निर्दोष लगता है, एक विश्वसनीय राजनयिक की विश्वसनीय कार की बिक्री - विशेष रूप से यूक्रेन जैसे युद्धग्रस्त क्षेत्र में - निश्चित रूप से एक नए आगमन का ध्यान आकर्षित कर सकती है, शोधकर्ताओं ने नोट किया।

यह कुछ ऐसा है जिसे क्लोक्ड उरसा ने एक अवसर के रूप में देखा, अपना स्वयं का नाजायज निर्माण करने के लिए फ़्लायर का पुन: उपयोग किया, जिसे समूह ने दो सप्ताह बाद अपने मैलवेयर अभियान में चारा के रूप में कई राजनयिक मिशनों को भेजा। समूह ने संदेश में एक दुर्भावनापूर्ण लिंक शामिल किया, जिसमें कहा गया कि लक्ष्य वहां कार की और तस्वीरें पा सकते हैं। यदि पीड़ित लिंक पर क्लिक करते हैं तो उन्हें केवल तस्वीरों के अलावा और भी बहुत कुछ मिलता है, जो पृष्ठभूमि में मैलवेयर को चुपचाप निष्पादित करता है जबकि चयनित छवि पीड़ित की स्क्रीन पर प्रदर्शित होती है।

अभियान का पेलोड एक जावास्क्रिप्ट-आधारित मैलवेयर है जो हमलावरों को पीड़ित के सिस्टम में जासूसी के लिए तैयार बैकडोर देता है, और कमांड-एंड-कंट्रोल (सी2) कनेक्शन के माध्यम से आगे दुर्भावनापूर्ण कोड लोड करने की क्षमता देता है।

एडवांस्ड परसिस्टेंट थ्रेट (एपीटी) ने लगभग 80% लक्षित पीड़ितों के लिए सार्वजनिक रूप से उपलब्ध दूतावास के ईमेल पतों का उपयोग करते हुए, और अन्य 20% के लिए सतही वेब पर नहीं पाए जाने वाले अप्रकाशित ईमेल पतों का उपयोग करते हुए, अपनी लक्ष्य सूची तैयार करने के लिए पूर्वचिन्तन दिखाया। यूनिट 42 के अनुसार, यह संभवतः "वांछित नेटवर्क तक उनकी पहुंच को अधिकतम करने के लिए" था।

शोधकर्ताओं ने क्लोक्ड उर्सा को यूक्रेन में 22 विदेशी मिशनों में से 80 के खिलाफ अभियान चलाते हुए देखा, लेकिन लक्ष्यों की वास्तविक संख्या अधिक होने की संभावना है, उन्होंने कहा।

यूनिट 42 के अनुसार, "आम तौर पर संकीर्ण दायरे वाले और गुप्त एपीटी संचालन के मामले में यह चौंका देने वाला है।"

मैलवेयर साइबर रणनीति में बदलाव

शोधकर्ताओं ने खुलासा किया कि यह उनकी नौकरियों से संबंधित विषय वस्तु को प्रलोभन के रूप में उपयोग करने से एक रणनीतिक धुरी है एक ब्लॉग पोस्ट इस सप्ताह प्रकाशित

शोधकर्ताओं ने लिखा, "ये अपरंपरागत लालच प्राप्तकर्ता को अपने नियमित कर्तव्यों के बजाय अपनी जरूरतों और इच्छाओं के आधार पर अनुलग्नक खोलने के लिए लुभाने के लिए डिज़ाइन किए गए हैं।"

शोधकर्ताओं ने सुझाव दिया कि लालच की रणनीति में यह बदलाव अभियान के सफलता कारक को बढ़ाने के लिए न केवल प्रारंभिक लक्ष्य से समझौता करने के लिए बल्कि उसी संगठन के भीतर अन्य लोगों के लिए भी एक कदम हो सकता है, जिससे इसकी पहुंच बढ़ जाएगी।

उन्होंने पोस्ट में लिखा, "लालच स्वयं राजनयिक समुदाय में व्यापक रूप से लागू होते हैं, और इस प्रकार इन्हें बड़ी संख्या में लक्ष्यों तक भेजा और अग्रेषित किया जा सकता है।" "उन्हें किसी संगठन के अंदर, साथ ही राजनयिक समुदाय के भीतर भी दूसरों को भेजे जाने की अधिक संभावना है।"

क्लोक्ड उर्सा/नोबेलियम/एपीटी29, रूस की विदेशी खुफिया सेवा (एसवीआर) से जुड़ा एक राज्य-प्रायोजित समूह है, जो शायद इसके लिए सबसे ज्यादा जाना जाता है। सोलरवाइंड पर हमला, जो दिसंबर 2020 में खोजे गए एक पिछले दरवाजे से शुरू हुआ जो संक्रमित सॉफ़्टवेयर अपडेट के माध्यम से लगभग 18,000 संगठनों में फैल गया - और अभी भी सॉफ़्टवेयर आपूर्ति श्रृंखला पर प्रभाव डाल रहा है।

तब से यह समूह लगातार सक्रिय बना हुआ है और श्रृंखलाबद्ध रूप से आगे बढ़ रहा है आक्रमण जो रूस के समग्र भू-राजनीतिक रुख के अनुरूप है विभिन्न विदेश मंत्रालय और राजनयिक, और अमेरिकी सरकार। घटनाओं में एक सामान्य विभाजक एक है रणनीति और कस्टम मैलवेयर विकास दोनों में परिष्कार.

यूनिट 42 ने क्लोक्ड उरसा के अन्य ज्ञात अभियानों में समानताएँ नोट कीं, जिनमें हमले के लक्ष्य और समूह के अन्य ज्ञात मैलवेयर के साथ कोड ओवरलैप शामिल हैं।

नागरिक समाज पर एपीटी साइबर हमलों को कम करना

शोधकर्ताओं ने राजनयिक मिशनों पर लोगों को क्लोक्ड उर्सा जैसे एपीटी के परिष्कृत और चतुर हमलों का शिकार होने से बचने के लिए कुछ सलाह दी। एक यह है कि प्रशासक नव नियुक्त राजनयिकों को उनके आगमन से पहले क्षेत्र के लिए साइबर सुरक्षा खतरों पर प्रशिक्षित करते हैं।

आम तौर पर सरकारी या कॉरपोरेट कर्मचारियों को हमेशा डाउनलोड से सावधान रहना चाहिए, यहां तक ​​कि प्रतीत होने वाली अहानिकर या वैध साइटों से भी, साथ ही यूआरएल-शॉर्टिंग सेवाओं का उपयोग करते समय यूआरएल पुनर्निर्देशन का पालन करने के लिए अतिरिक्त सावधानी बरतनी चाहिए, क्योंकि यह फ़िशिंग हमले की पहचान हो सकती है।

शोधकर्ताओं ने कहा कि फ़िशिंग का शिकार होने से बचने के लिए लोगों को ईमेल अटैचमेंट पर भी ध्यान देना चाहिए। उन्हें यह सुनिश्चित करने के लिए फ़ाइल एक्सटेंशन प्रकारों को सत्यापित करना चाहिए कि जो फ़ाइल वे खोल रहे हैं वह वही है जो वे चाहते हैं, उन एक्सटेंशन वाली फ़ाइलों से बचें जो मेल नहीं खाते हैं या फ़ाइल की प्रकृति को अस्पष्ट करने का प्रयास करते हैं।

अंत में, शोधकर्ताओं ने सुझाव दिया कि राजनयिक कर्मचारी एक नियम के रूप में जावास्क्रिप्ट को अक्षम कर दें, जो प्रोग्रामिंग भाषा पर आधारित किसी भी मैलवेयर को निष्पादित करने में असमर्थ बना देगा।

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. ऑटोमोटिव/ईवीएस, कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• BlockOffsets. पर्यावरणीय ऑफसेट स्वामित्व का आधुनिकीकरण। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/endpoint/solarwinds-attackers-bmws-spy-diplomats