शोधकर्ताओं ने नए वैश्विक साइबर-जासूसी अभियान की खोज की

सुरक्षा शोधकर्ताओं ने एक चल रहे साइबर-जासूसी अभियान की पहचान की है जो सरकारी संगठनों, अनुसंधान संस्थानों, थिंक टैंकों और निजी कंपनियों से संबंधित 5 9 कंप्यूटरों से समझौता करता है। पिछले 10 दिनों में।

हमला अभियान की खोज सुरक्षा फर्म कैस्पर्सकी लैब के शोधकर्ताओं और प्रौद्योगिकी और अर्थशास्त्र के बुडापेस्ट विश्वविद्यालय के क्रिप्टोग्राफी और सिस्टम सिक्योरिटी (क्राइसिस) की प्रयोगशाला द्वारा की गई थी।

डबड मिनीड्यूक, हमला अभियान लक्षित ईमेल संदेशों का उपयोग किया जाता है - एक तकनीक जिसे भाला फ़िशिंग कहा जाता है - जो दुर्भावनापूर्ण पीडीएफ फाइलों को एक रिकेन के साथ दबाया जाता है एडोब रीडर 9, 10 और 11 के लिए टाइल पेटेड शोषण

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

इस महीने के शुरू में सक्रिय हमलों में शोषण मूल रूप से फायरएई के सुरक्षा शोधकर्ताओं द्वारा खोजा गया था और सक्षम है एडोब रीडर 10 और 11 में सैंडबॉक्स सुरक्षा को बाईपास करने के लिए। एडोब ने फरवरी 20 को शोषण द्वारा लक्षित भेद्यता के लिए सुरक्षा पैच जारी किए।

नए मिनीड्यूक हमले फायरएई द्वारा पहचाने गए एक ही शोषण का उपयोग करते हैं, लेकिन कुछ उन्नत संशोधनों के साथ, बुधवार को कास्पर्सकी लैब की वैश्विक शोध और विश्लेषण टीम के निदेशक कॉस्टिन राययू। यह सुझाव दे सकता है कि हमलावरों के पास टूलकिट तक पहुंच थी जिसका उपयोग मूल शोषण बनाने के लिए किया गया था।

दुर्भावनापूर्ण पीडीएफ फाइलें लक्षित संगठनों के लिए प्रासंगिक सामग्री के साथ रिपोर्ट की नकली प्रतियां हैं और अनौपचारिक एशिया-यूरोप मीटिंग पर एक रिपोर्ट शामिल हैं (एएसईएम) मानव अधिकारों पर संगोष्ठी, यूक्रेन की नाटो सदस्यता कार्य योजना, यूक्रेन की क्षेत्रीय विदेश नीति पर एक रिपोर्ट और 2013 आर्मेनियाई आर्थिक संघ की एक रिपोर्ट, और अधिक पर एक रिपोर्ट।

यदि शोषण सफल होता है, तो नकली पीडीएफ फाइलें मैलवेयर का एक टुकड़ा स्थापित करें जो प्रभावित सिस्टम से एकत्रित जानकारी के साथ एन्क्रिप्ट किया गया है। रायु ने कहा कि यह एन्क्रिप्शन तकनीक का इस्तेमाल गॉस साइबर-एस्पोनिएज मैलवेयर में भी किया जाता था और मैलवेयर को एक अलग सिस्टम पर विश्लेषण करने से रोकता है। यदि एक अलग कंप्यूटर पर चलाया जाता है, तो मैलवेयर निष्पादित होगा, लेकिन इसकी दुर्भावनापूर्ण कार्यक्षमता शुरू नहीं करेगा।

इस खतरे का एक और दिलचस्प पहलू यह है कि यह आकार में केवल 20 केबी है और असेंबलर में लिखा गया था, एक विधि जिसका शायद ही कभी उपयोग किया जाता है आज मैलवेयर निर्माता द्वारा। राययू ने कहा कि आधुनिक मैलवेयर के आकार की तुलना में इसका छोटा आकार भी असामान्य है। यह सुझाव देता है कि प्रोग्रामर "पुराने स्कूल" थे।

हमले के इस पहले चरण के दौरान स्थापित मैलवेयर का टुकड़ा विशिष्ट ट्विटर खातों से जुड़ता है जिसमें एन्क्रिप्टेड कमांड होते हैं जो चार वेबसाइटों को इंगित करते हैं जो कमांड-एंड- नियंत्रण सर्वर। यूएस, जर्मनी, फ्रांस और स्विट्ज़रलैंड में होस्ट की जाने वाली ये वेबसाइटें, एन्क्रिप्टेड जीआईएफ फाइलों को होस्ट करती हैं जिनमें दूसरा बैकडोर प्रोग्राम होता है।

दूसरा बैकडोर पहले अपडेट होता है और कमांड-एंड-कंट्रोल सर्वर पर वापस कनेक्ट होता है एक और पिछला कार्यक्रम डाउनलोड करने के लिए जो प्रत्येक शिकार के लिए विशिष्ट रूप से डिज़ाइन किया गया है। बुधवार तक, कमांड-एंड-कंट्रोल सर्वर पुर्तगाल, यूक्रेन, जर्मनी और बेल्जियम में पांच अद्वितीय पीड़ितों के लिए पांच अलग-अलग पिछवाड़े कार्यक्रमों की मेजबानी कर रहे थे, राई ने कहा। ये अद्वितीय पिछवाड़े कार्यक्रम पनामा या तुर्की में विभिन्न कमांड-एंड-कंट्रोल सर्वर से जुड़ते हैं, और वे हमलावरों को संक्रमित सिस्टम पर आदेशों को निष्पादित करने की अनुमति देते हैं।

मिनीड्यूक साइबर-जासूसी अभियान के पीछे के लोग कम से कम अप्रैल 2012 से संचालित होते हैं, जब विशेष ट्विटर खातों में से एक पहली बार बनाया गया था, राययू ने कहा। हालांकि, यह संभव है कि हाल ही में उनकी गतिविधि अधिक सूक्ष्म थी, जब उन्होंने कमजोरियों को पैच करने से पहले जितना संभव हो उतना संगठन समझौता करने के लिए नए एडोब रीडर शोषण का लाभ उठाने का फैसला किया।

नए हमलों में इस्तेमाल होने वाले मैलवेयर अद्वितीय हैं और पहले नहीं देखा गया है, इसलिए समूह ने अतीत में विभिन्न मैलवेयर का इस्तेमाल किया होगा, राई ने कहा। उन्होंने कहा कि लक्ष्यों की विस्तृत श्रृंखला और हमलों की वैश्विक प्रकृति के आधार पर हमलावरों के पास शायद एक बड़ा एजेंडा है।

मिनीड्यूक पीड़ितों में बेल्जियम, ब्राजील, बुल्गारिया, चेक गणराज्य, जॉर्जिया, जर्मनी, हंगरी, आयरलैंड के संगठन शामिल हैं।, इज़राइल, जापान, लातविया, लेबनान, लिथुआनिया, मोंटेनेग्रो, पुर्तगाल, रोमानिया, रूस, स्लोवेनिया, स्पेन, तुर्की, यूक्रेन, यूनाइटेड किंगडम और संयुक्त राज्य अमेरिका।

संयुक्त राज्य अमेरिका में, एक शोध संस्थान, दो प्रो-यूएस राय ने कहा कि इस हमले से टैंक और एक स्वास्थ्य देखभाल कंपनी प्रभावित हुई है। राय ने किसी भी पीड़ित को नाम दिए बिना कहा।

हमला ज्वाला या स्टक्सनेट के रूप में परिष्कृत नहीं है, लेकिन फिर भी उच्च स्तर है, राई ने कहा। हमलावर कहां से काम कर सकते हैं या किस हित में सेवा कर सकते हैं, इस बारे में कोई संकेत नहीं है।

उस ने कहा, पिछली कोडिंग शैली मैलवेयर लेखकों के समूह की याद ताजा करती है जिसे 2 9ए के नाम से जाना जाता है, माना जाता है कि 2008 से निष्क्रिय है। कोड में हस्ताक्षर और "266" 666 का हेक्साडेसिमल प्रतिनिधित्व है, राई ने कहा।

ए "666" मूल्य फायरएई द्वारा किए गए पहले के हमलों में इस्तेमाल किए गए मैलवेयर में भी पाया गया था, लेकिन यह खतरे मिनीड्यूक से अलग था, राययू ने कहा। सवाल यह है कि दोनों हमले संबंधित हैं या नहीं।

इस साइबर-जासूसी अभियान का समाचार चीनी साइबर-जासूसी खतरे के बारे में विशेष रूप से अमेरिका में नवीनीकृत चर्चाओं की ऊँची एड़ी पर आता है, जिसे हाल ही में एक रिपोर्ट से प्रेरित किया गया था सुरक्षा फर्म Mandiant। रिपोर्ट में साइबरटाकर्स के एक समूह की साल-लंबी गतिविधि के बारे में विवरण शामिल है, जिसे टिप्पणी क्रू कहा जाता है कि मंडींग चीनी सेना का एक गुप्त साइबर्यूनिट मानता है। चीनी सरकार ने आरोपों को खारिज कर दिया है, लेकिन रिपोर्ट मीडिया में व्यापक रूप से शामिल थी।

राययू ने कहा कि चीन से अब तक की पहचान की गई मिनीड्यूक पीड़ितों में से कोई भी इस तथ्य के महत्व पर अनुमान लगाने से इनकार कर दिया। पिछले हफ्ते अन्य कंपनियों के सुरक्षा शोधकर्ताओं ने लक्षित हमलों की पहचान की जो कि समान पीडीएफ शोषण को मंदी रिपोर्ट के प्रतियों के रूप में मास्कराइडिंग वितरित करते थे।

उन हमलों ने मैलवेयर स्थापित किया जो कि चीनी मूल के स्पष्ट रूप से स्थापित था, राई ने कहा। हालांकि, जिस तरह से उन हमलों में शोषण का इस्तेमाल किया गया था, वह बहुत कच्चा था और मिनीड्यूक की तुलना में मैलवेयर अत्याधुनिक था।