ApolloShadow Malware

अपोलोशैडो एक परिष्कृत मैलवेयर स्ट्रेन है जिसका इस्तेमाल सीक्रेट ब्लिज़ार्ड नामक एक ख़तरा पैदा करने वाले द्वारा चलाए जा रहे साइबर जासूसी अभियानों में किया जाता है। यह समूह, जिसे रूस की संघीय सुरक्षा सेवा (FSB) का हिस्सा माना जाता है, कई अन्य कोडनेम से जुड़ा है, जिनमें ATG26, ब्लू पायथन, स्नेक, टर्ला, यूरोबुरोस, वेनोमस बियर, वाटरबग और रेथ शामिल हैं। इस मैलवेयर का इस्तेमाल कम से कम 2024 से मॉस्को में संवेदनशील संस्थाओं को निशाना बनाने वाले अभियानों में सक्रिय रूप से किया जा रहा है, और इस बात के पुख्ता संकेत हैं कि ये अभियान और भी व्यापक होंगे।

एक अनुकूलित ख़तरा: अपोलोशैडो की उत्पत्ति और क्षमताएँ

अपोलोशैडो जासूसी के लिए डिज़ाइन किया गया एक विशेष रूप से निर्मित दुर्भावनापूर्ण उपकरण है। इसका उपयोग राजनयिक संस्थानों और अन्य उच्च-मूल्यवान संगठनों, विशेष रूप से रूसी इंटरनेट और दूरसंचार सेवाओं पर निर्भर संगठनों को लक्षित करने वाले अभियानों से जुड़ा है। यह मैलवेयर उन्नत एडवर्सरी-इन-द-मिडिल (AiTM) तकनीकों का उपयोग करके फैलाया जाता है, जहाँ हमलावर पीड़ित और वैध सेवाओं के बीच संचार को बाधित करते हैं।

अपोलोशैडो के नवीनतम अभियानों में, AiTM तकनीक को इंटरनेट सेवा प्रदाता (ISP) स्तर पर लागू किया गया था। पीड़ितों को वैध विंडोज़ व्यवहार की नकल करने के लिए डिज़ाइन किए गए एक कैप्टिव पोर्टल के माध्यम से पुनर्निर्देशित किया गया था। जब विंडोज़ टेस्ट कनेक्टिविटी स्टेटस इंडिकेटर सक्रिय होता था, तो मानक सत्यापन पृष्ठ तक पहुँचने के बजाय, उपयोगकर्ता को हमलावरों द्वारा नियंत्रित डोमेन पर भेज दिया जाता था। इस पुनर्निर्देशन के परिणामस्वरूप एक संकेत मिलता था जो उपयोगकर्ता को संक्रमण श्रृंखला शुरू करने के लिए, अक्सर प्रतिष्ठित सुरक्षा कार्यक्रमों के रूप में प्रच्छन्न, एक फर्जी रूट प्रमाणपत्र स्थापित करने के लिए प्रोत्साहित करता था।

सुरक्षा भंग: अपोलोशैडो कैसे उपकरणों से समझौता करता है

रूट प्रमाणपत्र की स्थापना वह महत्वपूर्ण क्षण है जो अपोलोशैडो को सिस्टम तक पहुँच प्रदान करता है। एक बार सक्रिय होने पर, यह कई कार्य करता है:

• आईपी पते सहित डिवाइस और नेटवर्क जानकारी एकत्र करता है।
• एक नकली उपयोगकर्ता खाता नियंत्रण (UAC) प्रॉम्प्ट के माध्यम से प्रशासनिक विशेषाधिकार प्राप्त करने का प्रयास। देखे गए मामलों में, इंस्टॉलर का नाम 'CertificateDB.exe' था।
• भ्रामक पॉप-अप प्रदर्शित करता है जो यह संकेत देता है कि प्रमाणपत्र स्थापित किए जा रहे हैं।

उन्नत विशेषाधिकार प्राप्त करने के बाद, मैलवेयर संक्रमित डिवाइस को स्थानीय नेटवर्क पर खोज योग्य बना देता है। फिर यह फ़ायरवॉल सेटिंग्स में बदलाव करके और फ़ाइल शेयरिंग को सक्षम करके सिस्टम की सुरक्षा को कमज़ोर करने का प्रयास करता है। ब्राउज़र सुरक्षा को बायपास करने के लिए:

• क्रोमियम-आधारित ब्राउज़र स्वचालित रूप से दुर्भावनापूर्ण प्रमाणपत्र पर भरोसा करते हैं।
• हालाँकि, फ़ायरफ़ॉक्स को मैलवेयर का पता लगाने से बचने के लिए अतिरिक्त कॉन्फ़िगरेशन परिवर्तन की आवश्यकता होती है।

अपोलोशैडो 'अपडेटसयूजर' नामक एक स्थायी प्रशासनिक उपयोगकर्ता खाता बनाकर दीर्घकालिक पहुंच भी सुनिश्चित करता है, जो एक हार्डकोडेड, गैर-समाप्ति पासवर्ड का उपयोग करता है।

गहरी घुसपैठ: अपोलोशैडो क्या सक्षम बनाता है

अपोलोशैडो पर TLS/SSL स्ट्रिपिंग हमलों को सक्षम करने का संदेह है। ये हमले ब्राउज़रों को सुरक्षित एन्क्रिप्शन के बिना कनेक्ट होने के लिए मजबूर करते हैं, जिससे मैलवेयर ब्राउज़िंग गतिविधि पर नज़र रख सकता है और संभावित रूप से लॉगिन टोकन और क्रेडेंशियल जैसी संवेदनशील जानकारी चुरा सकता है।

मैलवेयर की गुप्तता और निरंतरता इसे असाधारण रूप से खतरनाक बनाती है। खुफिया जानकारी इकट्ठा करते हुए और दूरस्थ पहुँच प्रदान करते हुए भी बिना पकड़े रह पाने की इसकी क्षमता, राज्य-प्रायोजित साइबर अभियानों में इसके महत्व को रेखांकित करती है।

धोखे के उपकरण: सामाजिक इंजीनियरिंग और संक्रमण वेक्टर

अपोलोशैडो अभियान तकनीकी हेरफेर और सामाजिक इंजीनियरिंग का मिश्रण है। पीड़ितों को न केवल नेटवर्क-स्तरीय हमलों के ज़रिए पुनर्निर्देशित और हेरफेर किया जाता है, बल्कि उन्हें भ्रामक संकेतों से भी निशाना बनाया जाता है जो उन्हें विश्वसनीय सॉफ़्टवेयर की आड़ में दुर्भावनापूर्ण प्रमाणपत्र स्थापित करने के लिए प्रेरित करते हैं।

जबकि अपोलोशैडो अभियान मुख्य रूप से आईएसपी-स्तरीय अवरोधन और सामाजिक इंजीनियरिंग पर निर्भर करते हैं, संक्रमण वेक्टर अधिक पारंपरिक मैलवेयर वितरण रणनीति के माध्यम से विस्तारित हो सकते हैं।

सामान्य मैलवेयर वितरण विधियाँ :

भ्रामक रणनीति:

• फ़िशिंग संदेश (ईमेल, निजी संदेश, सोशल मीडिया पोस्ट)।
• दुर्भावनापूर्ण लिंक या अनुलग्नक.
• धोखाधड़ीपूर्ण सॉफ़्टवेयर अपडेट या इंस्टॉलर।

असुरक्षित डाउनलोड स्रोत:

• अनौपचारिक वेबसाइटें.
• निःशुल्क फ़ाइल-होस्टिंग सेवाएँ.
• पीयर-टू-पीयर (पी2पी) साझाकरण प्लेटफॉर्म।

इसके अतिरिक्त, कुछ मैलवेयर स्ट्रेन, जिनमें अपोलोशैडो जैसे उन्नत उपकरण शामिल हैं, स्थानीय नेटवर्क के माध्यम से फैल सकते हैं या यूएसबी ड्राइव या बाहरी हार्ड डिस्क जैसे हटाने योग्य भंडारण उपकरणों का उपयोग करके फैल सकते हैं।

निष्कर्ष: एक गंभीर जासूसी खतरा

अपोलोशैडो एक गंभीर साइबर जासूसी ख़तरा है जिसके पीछे भू-राजनीतिक मंशाएँ छिपी हैं। विश्वसनीय ब्रांडों, भ्रामक नेटवर्क-स्तरीय हमलों और लगातार पहुँच के तरीक़ों का फ़ायदा उठाकर, सीक्रेट ब्लिज़ार्ड ने ख़ुफ़िया जानकारी जुटाने के लिए एक शक्तिशाली उपकरण तैयार किया है। रूसी प्रभाव वाले क्षेत्रों में या उसके आस-पास काम करने वाले संगठनों, ख़ासकर स्थानीय इंटरनेट सेवा प्रदाताओं (आईएसपी) पर निर्भर संगठनों को इस उभरते ख़तरे से बचाव के लिए कड़े सुरक्षा प्रोटोकॉल अपनाने होंगे।