एक साइबर हमला अभियान, जो संभावित रूप से साइबर जासूसी पर आधारित है, अमेरिका और अन्य जगहों पर रक्षा ठेकेदारों को निशाना बनाने वाले साइबर खतरों की बढ़ती परिष्कृत प्रकृति को उजागर कर रहा है।
गुप्त अभियान, जिसे सिक्यूरोनिक्स के शोधकर्ताओं ने पता लगाया और STEEP#MAVERICK के रूप में ट्रैक कर रहे हैं, ने हाल के महीनों में यूरोप में कई हथियार ठेकेदारों को प्रभावित किया है, जिसमें संभावित रूप से यूएस F-35 लाइटनिंग II लड़ाकू विमान कार्यक्रम का आपूर्तिकर्ता भी शामिल है।
सुरक्षा विक्रेता के अनुसार अभियान को उल्लेखनीय बनाने वाली बात यह है कि हमलावर ने संचालन सुरक्षा (OpSec) पर पूरा ध्यान दिया है और यह सुनिश्चित किया है कि उनके मैलवेयर का पता लगाना कठिन है, हटाना कठिन है और विश्लेषण करना चुनौतीपूर्ण है।
हमलों में प्रयुक्त पॉवरशेल-आधारित मैलवेयर स्टेगर में "दिलचस्प युक्तियों की एक श्रृंखला प्रदर्शित की गई, दृढ़ता पद्धति, काउंटर-फोरेंसिक्स और अपने कोड को छिपाने के लिए अस्पष्टता की परतें, “सिक्योरोनिक्स ने इस सप्ताह एक रिपोर्ट में कहा।
असामान्य मैलवेयर क्षमताएँ
ऐसा प्रतीत होता है कि STEEP#MAVERICK अभियान गर्मियों के अंत में यूरोप में दो हाई-प्रोफ़ाइल रक्षा ठेकेदारों पर हमलों के साथ शुरू हुआ है। कई अभियानों की तरह, हमले की श्रृंखला एक स्पीयर-फ़िशिंग ईमेल के साथ शुरू हुई जिसमें कथित तौर पर कंपनी के लाभों का वर्णन करने वाले एक पीडीएफ दस्तावेज़ में शॉर्टकट (.lnk) फ़ाइल के साथ एक संपीड़ित (.zip) फ़ाइल शामिल थी। सिक्यूरोनिक्स ने फ़िशिंग ईमेल को इस साल की शुरुआत में एक अभियान में सामना किए गए ईमेल के समान बताया उत्तर कोरिया का APT37 (उर्फ कोन्नी) खतरा समूह.
जब .lnk फ़ाइल निष्पादित की जाती है, तो यह ट्रिगर हो जाती है जिसे सिक्यूरोनिक्स ने "स्टेजर्स की एक बड़ी और मजबूत श्रृंखला" के रूप में वर्णित किया है, प्रत्येक पावरशेल में लिखा गया है और इसमें आठ ऑबफस्केशन परतें शामिल हैं। मैलवेयर में व्यापक एंटी-फॉरेंसिक और काउंटर-डिबगिंग क्षमताएं भी शामिल हैं जिनमें प्रक्रियाओं की एक लंबी सूची की निगरानी करना शामिल है जिनका उपयोग दुर्भावनापूर्ण व्यवहार को देखने के लिए किया जा सकता है। मैलवेयर को लॉगिंग को अक्षम करने और विंडोज डिफेंडर को बायपास करने के लिए डिज़ाइन किया गया है। यह सिस्टम पर बने रहने के लिए कई तकनीकों का उपयोग करता है, जिसमें सिस्टम रजिस्ट्री में खुद को एम्बेड करना, एक निर्धारित कार्य के रूप में खुद को एम्बेड करना और सिस्टम पर एक स्टार्टअप शॉर्टकट बनाना शामिल है।
सिक्यूरोनिक्स की थ्रेट रिसर्च टीम के एक प्रवक्ता का कहना है कि मैलवेयर में एंटी-एनालिसिस और एंटी-मॉनिटरिंग चेक की संख्या और विविधता असामान्य है। इसी तरह, पेलोड के लिए बड़ी संख्या में अस्पष्टता परतें और विश्लेषण प्रयासों के जवाब में नए कस्टम कमांड-एंड-कंट्रोल (सी2) स्टेजर पेलोड को प्रतिस्थापित करने या उत्पन्न करने के मैलवेयर के प्रयास भी हैं: "कुछ अस्पष्टीकरण तकनीकें, जैसे पावरशेल का उपयोग करना- [इनवोक-एक्सप्रेशन सीएमडीलेट] निष्पादित करने के उपनाम बहुत कम देखे जाते हैं।"
दुर्भावनापूर्ण गतिविधियों को ओपसेक-जागरूक तरीके से विभिन्न प्रकार के एंटी-विश्लेषण जांच और हमले के दौरान चोरी के प्रयासों के साथ, कस्टम पेलोड इंजेक्ट किए गए अपेक्षाकृत उच्च परिचालन गति पर किया गया था।
प्रवक्ता का कहना है, "हमले के विवरण के आधार पर, अन्य संगठनों के लिए एक उपाय यह है कि आप अपने सुरक्षा उपकरणों की निगरानी पर अतिरिक्त ध्यान दें।" "संगठनों को यह सुनिश्चित करना चाहिए कि सुरक्षा उपकरण अपेक्षा के अनुरूप काम करें और खतरों का पता लगाने के लिए एकल सुरक्षा उपकरण या तकनीक पर निर्भर रहने से बचें।"
एक बढ़ता साइबर खतरा
STEEP#MAVERICK अभियान हाल के वर्षों में बढ़ती संख्या में रक्षा ठेकेदारों और आपूर्तिकर्ताओं को लक्षित करने वाला नवीनतम अभियान है। इनमें से कई अभियानों में चीन, रूस, उत्तर कोरिया और अन्य देशों से संचालित राज्य समर्थित अभिनेता शामिल हैं।
उदाहरण के लिए, जनवरी में, यूएस साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी (सीआईएसए) ने रूसी राज्य-प्रायोजित अभिनेताओं द्वारा डिज़ाइन किए गए हमलों में तथाकथित साफ़ रक्षा ठेकेदारों (सीडीसी) को लक्षित करने की चेतावनी जारी की थी। संवेदनशील अमेरिकी रक्षा सूचना और प्रौद्योगिकी को चुराने के लिए. सीआईएसए अलर्ट ने हमलों को सीडीसी के व्यापक समूह को लक्षित करने के रूप में वर्णित किया, जिसमें युद्ध प्रणाली, खुफिया और निगरानी प्रौद्योगिकियों, हथियारों और मिसाइल विकास, और लड़ाकू वाहन और विमान डिजाइन विकसित करने में शामिल लोग शामिल थे।
फरवरी में, पालो ऑल्टो नेटवर्क्स के शोधकर्ताओं ने वितरण अभियान में कम से कम चार अमेरिकी रक्षा ठेकेदारों को निशाना बनाए जाने की सूचना दी एक फ़ाइल रहित, सॉकेट रहित पिछला दरवाज़ा जिसे SockDetour कहा जाता है. ये हमले एक व्यापक अभियान का हिस्सा थे जिसकी जांच सुरक्षा विक्रेता ने 2021 में राष्ट्रीय सुरक्षा एजेंसी के साथ मिलकर की थी जिसमें एक चीनी उन्नत लगातार समूह शामिल था लक्षित रक्षा ठेकेदार और कई अन्य क्षेत्रों में संगठन।
रक्षा ठेकेदार: एक कमज़ोर वर्ग
साइबर हमलों की बढ़ती मात्रा पर चिंताओं के अलावा कई रक्षा ठेकेदारों की सापेक्ष भेद्यता भी है, रहस्य होने के बावजूद जिन्हें बारीकी से संरक्षित किया जाना चाहिए।
ब्लैक काइट द्वारा शीर्ष 100 अमेरिकी रक्षा ठेकेदारों की सुरक्षा प्रथाओं पर किए गए हालिया शोध से पता चला है कि लगभग एक तिहाई (32%) रैंसमवेयर हमलों के प्रति संवेदनशील. इसका कारण लीक हुए या समझौता किए गए क्रेडेंशियल जैसे कारक और क्रेडेंशियल प्रबंधन, एप्लिकेशन सुरक्षा और सुरक्षा सॉकेट लेयर/ट्रांसपोर्ट लेयर सुरक्षा जैसे क्षेत्रों में कमजोर प्रथाएं हैं।
ब्लैक काइट रिपोर्ट में बहत्तर प्रतिशत उत्तरदाताओं ने कम से कम एक ऐसी घटना का अनुभव किया है जिसमें क्रेडेंशियल लीक हुआ है।
सुरंग के अंत में रोशनी हो सकती है: अमेरिकी रक्षा विभाग ने, उद्योग हितधारकों के साथ मिलकर, संवेदनशील डेटा की सुरक्षा के लिए सैन्य ठेकेदारों के लिए साइबर सुरक्षा सर्वोत्तम प्रथाओं का एक सेट विकसित किया है। DoD के साइबर सुरक्षा परिपक्वता मॉडल प्रमाणन कार्यक्रम के तहत, रक्षा ठेकेदारों को इन प्रथाओं को लागू करना आवश्यक है - और उन्हें सरकार को बेचने में सक्षम होने के लिए प्रमाणित किया जाना चाहिए। बुरी ख़बरें? कार्यक्रम का शुभारंभ देर हो चुकी है.
