जंगली में डेटा चोरी करने के वर्षों के बाद लाल अक्टूबर मैलवेयर

हैकर्स के एक छायादार समूह ने संयुक्त राज्य अमेरिका में लक्ष्य सहित पांच साल से अधिक समय तक राजनयिक, सरकार और वैज्ञानिक शोध कंप्यूटर नेटवर्क से खुफिया डेटा को हटा दिया है। कास्पर्स्की लैब से रिपोर्ट।

कास्पर्स्की लैब ने अक्टूबर में मैलवेयर हमलों का शोध करना शुरू किया और उन्हें "लाल अक्टूबर" के लिए छोटा "रोक्ररा" कहा। रोका माइक्रोसॉफ्ट एक्सेल, वर्ड, और पीडीएफ दस्तावेजों के प्रकार में संक्रमित करने के लिए कई सुरक्षा भेद्यता का उपयोग करता है पीसी, स्मार्टफोन, और कंप्यूटर नेटवर्किंग उपकरण। मंगलवार को शोधकर्ताओं ने पाया कि मैलवेयर प्लेटफ़ॉर्म वेब-आधारित जावा शोषण का भी उपयोग करता है।

यह स्पष्ट नहीं है कि हमलों के पीछे कौन है, लेकिन रोक्ररा मूल रूप से चीनी हैकर्स द्वारा निर्मित कम से कम तीन सार्वजनिक रूप से ज्ञात शोषण का उपयोग करता है। हालांकि, कास्पर्सकी लैब की रिपोर्ट के मुताबिक, रोका का प्रोग्रामिंग रूसी भाषी ऑपरेटरों के एक अलग समूह से प्रतीत होता है।

[आगे पढ़ने: आपके नए पीसी को इन 15 मुफ़्त, उत्कृष्ट कार्यक्रमों की जरूरत है]

हमले हैं भाषण-मछली पकड़ने के हमलों के रूप में जाने जाने वाले उच्च स्तरीय संस्थानों में चल रहे और लक्षित हैं। कास्पर्स्की का अनुमान है कि लाल अक्टूबर के हमलों ने परिचालन के समय सैकड़ों टेराबाइट डेटा प्राप्त किए हैं, जो मई 2007 तक हो सकता है।

2011 से 2012 के बीच 300 से अधिक देशों में रोका संक्रमण की खोज की गई थी। कास्पर्स्की के एंटीवायरस उत्पादों की जानकारी पर। प्रभावित देश मुख्य रूप से रूस (35 संक्रमण), कज़ाखस्तान (21), और अज़रबैजान (15) समेत यूएसएसआर के पूर्व सदस्य थे।

अन्य देशों में संक्रमण की उच्च संख्या वाले बेल्जियम (15), भारत (14), अफगानिस्तान (10), और अर्मेनिया (10)। संयुक्त राज्य अमेरिका में स्थित दूतावासों में छह संक्रमण अनदेखा किए गए थे। चूंकि ये संख्या केवल कास्पर्सकी सॉफ़्टवेयर का उपयोग करने वाली मशीनों से आई थीं, संक्रमण की वास्तविक संख्या बहुत अधिक हो सकती है।

इसे सभी ले जाएं

कास्पर्स्की ने कहा कि रोका में इस्तेमाल किए गए मैलवेयर पीसी वर्कस्टेशंस और पीसी से जुड़े स्मार्टफोन से डेटा चोरी कर सकते हैं आईफोन, नोकिया, और विंडोज मोबाइल हैंडसेट। रोका सिस्को ब्रांडेड उपकरण से नेटवर्क कॉन्फ़िगरेशन जानकारी प्राप्त कर सकता है, और हटाए गए डेटा सहित हटाने योग्य डिस्क ड्राइव से फ़ाइलें ले सकता है।

मैलवेयर प्लेटफ़ॉर्म ई-मेल संदेश और अनुलग्नक भी चुरा सकता है, संक्रमित मशीन के सभी कीस्ट्रोक रिकॉर्ड कर सकता है, स्क्रीनशॉट ले सकता है, और क्रोम, फ़ायरफ़ॉक्स, इंटरनेट एक्सप्लोरर, और ओपेरा वेब ब्राउज़र से ब्राउज़िंग इतिहास पकड़ो। जैसे कि वह पर्याप्त नहीं था, रोक्र्रा स्थानीय नेटवर्क एफ़टीपी सर्वर पर संग्रहीत फ़ाइलों को भी पकड़ लेता है और खुद को स्थानीय नेटवर्क पर दोहरा सकता है।

पाठ्यक्रम के लिए पैरा

भले ही रोका की क्षमताओं में व्यापक दिखाई दे, सुरक्षा क्षेत्र में हर कोई नहीं रोक्र के हमले के तरीकों से प्रभावित था। सुरक्षा फर्म एफ-सिक्योर ने अपनी कंपनी ब्लॉग पर कहा, "ऐसा प्रतीत होता है कि इस्तेमाल किए गए शोषण किसी भी तरह से उन्नत नहीं थे।" "हमलावरों ने पुराने, जाने-माने शब्द, एक्सेल और जावा शोषण का इस्तेमाल किया। अब तक, शून्य-दिन की भेद्यता का कोई संकेत नहीं है। "शून्य-दिन की भेद्यता जंगली में खोजे गए पहले अज्ञात शोषण को संदर्भित करती है।

इसकी तकनीकी क्षमता से असंपीड़ित होने के बावजूद, एफ-सिक्योर ने कहा कि लाल अक्टूबर के हमले रोकारा सक्रिय रहा है और एक समूह द्वारा किए गए जासूसी के पैमाने की वजह से दिलचस्प हैं। "हालांकि," एफ-सुरक्षित जोड़ा गया। "दुखद सच्चाई यह है कि कंपनियां और सरकारें लगातार कई अलग-अलग स्रोतों से समान हमलों के अधीन होती हैं।"

रोका शुरू होता है जब कोई शिकार डाउनलोड करता है और एक दुर्भावनापूर्ण उत्पादकता फ़ाइल (एक्सेल, वर्ड, पीडीएफ) खोलता है जो तब रोक्र के से अधिक मैलवेयर पुनर्प्राप्त कर सकता है कमांड-एंड-कंट्रोल सर्वर, एक विधि जिसे ट्रोजन ड्रॉपर के नाम से जाना जाता है। मैलवेयर के इस दूसरे दौर में वे प्रोग्राम शामिल हैं जो डेटा एकत्र करते हैं और उस जानकारी को हैकर को वापस भेजते हैं।

चोरी किए गए डेटा में सादा पाठ, समृद्ध टेक्स्ट, वर्ड और एक्सेल जैसे दैनिक फ़ाइल प्रकार शामिल हो सकते हैं, लेकिन लाल अक्टूबर के हमले भी क्रिप्टोग्राफिक डेटा जैसे पीजीपी और जीपीजी एन्क्रिप्टेड फाइलों के बाद जाते हैं।

इसके अतिरिक्त, रोका उन फ़ाइलों को ढूंढता है जो उपयोग करते हैं "एसिड क्रिप्टोफाइल" एक्सटेंशन, जो क्रिप्टोग्राफिक सॉफ्टवेयर है जो यूरोपीय संघ और उत्तरी अटलांटिक संधि संगठन समेत सरकारों और संगठनों द्वारा उपयोग किया जाता है। यह स्पष्ट नहीं है कि रोक्र के पीछे वाले लोग किसी भी एन्क्रिप्टेड डेटा को प्राप्त करने में सक्षम हैं या नहीं।

ई-मेल पुनर्जन्म

रोकारा विशेष रूप से कानून प्रवर्तन से हस्तक्षेप के लिए प्रतिरोधी है, कैस्पर्सकी के अनुसार। यदि अभियान के कमांड-एंड-कंट्रोल सर्वर बंद हो गए हैं, तो हैकर ने सिस्टम को डिज़ाइन किया है ताकि वे अपने मैलवेयर प्लेटफॉर्म पर एक साधारण ई-मेल के साथ नियंत्रण प्राप्त कर सकें।

रोका के घटकों में से कोई भी आने वाले पीडीएफ या ऑफिस दस्तावेज़ की खोज करता है जिसमें निष्पादन योग्य कोड होता है और विशेष मेटाडेटा टैग के साथ फ़्लैग किया जाता है। दस्तावेज सभी सुरक्षा जांच पास करेगा, कास्पर्स्की कहते हैं, लेकिन एक बार यह डाउनलोड और खोला जाने के बाद, रोका दस्तावेज़ से जुड़ा एक दुर्भावनापूर्ण एप्लिकेशन शुरू कर सकता है और खराब लोगों को डेटा खिलााना जारी रख सकता है। इस चाल का उपयोग करके, सभी हैकर्स को कुछ नए सर्वर स्थापित करना है और पिछले पीड़ितों को व्यवसाय में वापस आने के लिए दुर्भावनापूर्ण दस्तावेज ई-मेल करना है।

रोका के सर्वर प्रॉक्सी की श्रृंखला के रूप में स्थापित किए गए हैं (सर्वर अन्य सर्वरों के पीछे छिपा रहे हैं), जो हमलों के स्रोत को खोजना बहुत मुश्किल बनाता है। Kasperksy कहते हैं कि रोका के बुनियादी ढांचे की जटिलता ज्वाला मैलवेयर की प्रतिद्वंद्वियों, जो पीसी को संक्रमित करने और संवेदनशील डेटा चोरी करने के लिए भी प्रयोग किया जाता था। रोक्रा, लौ, या मैलवेयर जैसे डुक्वा के बीच कोई ज्ञात कनेक्शन नहीं है, जो स्टक्सनेट के समान कोड पर बनाया गया था।

जैसा कि एफ-सिक्योर द्वारा देखा गया है, लाल अक्टूबर के हमले विशेष रूप से कुछ भी नहीं कर रहे हैं, लेकिन जंगली में यह मैलवेयर अभियान कितना समय प्रभावशाली है। फ्लेम, रेड अक्टूबर जैसे अन्य साइबर जासूसी अभियानों के समान उपयोगकर्ताओं को दुर्भावनापूर्ण फ़ाइलों को डाउनलोड करने और खोलने या दुर्भावनापूर्ण वेबसाइटों पर जाकर उपयोगकर्ताओं को डुप्लिकेट करने पर निर्भर करता है जहां कोड को उनके डिवाइस में इंजेक्शन दिया जा सकता है। इससे पता चलता है कि कंप्यूटर जासूसी बढ़ने पर हो सकती है, जबकि कंप्यूटर सुरक्षा की मूल बातें इन हमलों को रोकने के लिए एक लंबा रास्ता तय कर सकती हैं।

सावधानियां लें

अज्ञात प्रेषकों से फ़ाइलों से सावधान रहना या देखने के लिए उपयोगी सावधानी फाइलें जो उनके अधिकृत प्रेषक से चरित्र से बाहर हैं, एक अच्छी शुरुआत है। उन वेबसाइटों से सावधान रहना भी उपयोगी है जिन्हें आप नहीं जानते या भरोसा करते हैं, खासकर जब कॉर्पोरेट उपकरण का उपयोग करते हैं। अंत में, सुनिश्चित करें कि आपके पास विंडोज के आपके संस्करण के लिए सभी नवीनतम सुरक्षा अपडेट हैं, और गंभीरता से जावा को बंद करने पर विचार करें जब तक कि आपको इसकी पूरी आवश्यकता न हो। आप सभी तरह के हमलों को रोकने में सक्षम नहीं हो सकते हैं, लेकिन बुनियादी सुरक्षा प्रथाओं का पालन करने से आप कई बुरे अभिनेताओं से ऑनलाइन रक्षा कर सकते हैं।

कास्पर्स्की का कहना है कि यह स्पष्ट नहीं है कि लाल अक्टूबर के हमले एक राष्ट्र राज्य या अपराधियों के काम हैं काले बाजार पर संवेदनशील डेटा बेचने के लिए। सुरक्षा कंपनी आने वाले दिनों में रोका के बारे में अधिक जानकारी जारी करने की योजना बना रही है।

यदि आप इस बात से चिंतित हैं कि आपके सिस्टम में से कोई भी रोका द्वारा प्रभावित है, तो एफ-सिक्योर का कहना है कि इसका एंटीवायरस सॉफ़्टवेयर वर्तमान में ज्ञात शोषण का पता लगा सकता है लाल अक्टूबर हमले। कास्पर्स्की का एंटीवायरस सॉफ़्टवेयर रोका से भी खतरों का पता लगा सकता है।