APT31/Zirconium

APT31 एक उन्नत स्थायी खतरा समूह है जो बौद्धिक संपदा की चोरी और मालवेयर पर ध्यान केंद्रित करता है। इस समूह को विभिन्न सुरक्षा संगठनों द्वारा ज़िरकोनियम, जजमेंट पांडा और कांस्य वाइनवुड भी कहा जाता है। अधिकांश अन्य एपीटी समूहों की तरह, संदेह है कि एपीटी31 राज्य प्रायोजित हो सकता है और इस मामले में संदिग्ध राज्य चीन है। 2020 की गर्मियों में Google थ्रेट एनालिसिस ग्रुप ने सुझाव दिया कि APT31 फ़िशिंग ईमेल के साथ जो बिडेन के राष्ट्रपति अभियान को लक्षित कर रहा था।

हाल ही में TAG ने चीन APT समूह को Biden अभियान के कर्मचारियों और ईरान APT को ट्रम्प अभियान के कर्मचारियों को फ़िशिंग से लक्षित करते हुए देखा। समझौता का कोई संकेत नहीं। हमने उपयोगकर्ताओं को हमारे सरकारी हमले की चेतावनी भेजी और हमने फेड कानून प्रवर्तन को संदर्भित किया। https://t.co/ozlRL4SwhG

- शेन हंटले (@ShaneHuntley) 4 जून, 2020

APT31 की जबरन पुनर्निर्देशन प्रक्रिया

2017 में वापस, APT31 सबसे बड़ा मालवेयर ऑपरेशन चला रहा था। समूह ने कम से कम 28 नकली विज्ञापन कंपनियां बनाई थीं। कॉन्फिएंट के अनुसार, ज़िरकोनियम ने लगभग 1 बिलियन विज्ञापन दृश्य खरीदे थे और सभी विज्ञापन-मुद्रीकृत वेबसाइटों के 62% पर प्राप्त करने में सफल रहे थे। उपयोग किया जाने वाला मुख्य हमला वेक्टर APT31 जबरन पुनर्निर्देशन था। जबरन पुनर्निर्देशन तब होता है जब कोई वेबसाइट ब्राउज़ कर रहा व्यक्ति उपयोगकर्ता द्वारा कोई कार्रवाई किए बिना किसी अन्य वेबसाइट पर पुनर्निर्देशित हो जाता है। उपयोगकर्ता जिस वेबसाइट पर समाप्त होता है वह आमतौर पर एक घोटाले के हिस्से के रूप में उपयोग की जाती है या मैलवेयर संक्रमण की ओर ले जाती है।

MyAdsBro होमपेज का स्क्रीनशॉट - स्रोत: Confiant.com ब्लॉग

APT31 ने विज्ञापन प्लेटफॉर्म के साथ संबंध स्थापित करने के लिए, एक नकली विज्ञापन एजेंसी, Beginads को बनाया और इस्तेमाल किया। लाइन के नीचे, यह डोमेन बन गया जिरकोनियम अपनी सभी नकली एजेंसियों के सभी अभियानों के लिए यातायात को निर्देशित करने के लिए उपयोग करेगा। APT31 ने यह सुनिश्चित करने के लिए कड़ी मेहनत की कि वे कई वास्तविक विज्ञापन प्लेटफॉर्म के साथ वैध रूप से संबंध देख रहे हैं। इस दृष्टिकोण ने योजना को कुछ लचीलापन भी दिया और इससे संदेह पैदा होने की संभावना कम हो गई। APT31 ने एफिलिएट मार्केटिंग प्लेटफॉर्म को ट्रैफिक भी बेचा। इस व्यवस्था का अर्थ था कि APT31 को लैंडिंग पृष्ठों को स्वयं संचालित करने की आवश्यकता नहीं थी। साइबर क्रिमिनल्स आगे बढ़ गए , एक संबद्ध नेटवर्क का निर्माण किया जिसे वे स्वयं संचालित करते थे। नेटवर्क को MyAdsBro कहा जाता था। APT31 MyAdsBro के माध्यम से अपने स्वयं के अभियान चलाते थे, लेकिन अन्य भी कमीशन के लिए MyAdsBro पर ट्रैफ़िक ला सकते थे।

ग्राहक वेब पैनल स्क्रीनशॉट - स्रोत: Confiant.com ब्लॉग

एक बार रीडायरेक्ट होने के बाद, उपयोगकर्ताओं को कुछ सबसे लोकप्रिय युक्तियों के माध्यम से संक्रमण को सक्षम करने के लिए लुभाया गया:

• नकली एडोब फ्लैश प्लेयर पॉप-अप अपडेट करें
• नकली एंटीवायरस पॉप-अप
• तकनीकी सहायता घोटाले
• विभिन्न स्केयरवेयर संदेश

APT31 ने अपनी योजना को स्थापित करने और इसे वैध बनाने में काफी समय दिया। सभी फर्जी एजेंसियों के पास विभिन्न मार्केटिंग सामग्री, सोशल मीडिया में प्रोफाइल वाले फर्जी अधिकारी और यहां तक कि उक्त मीडिया में अनूठी सामग्री वाले पोस्ट भी थे। ज़िरकोनियम की अधिकांश बड़े पैमाने पर उत्पादित कंपनियां 2017 के वसंत में लॉन्च हुईं। सभी 28 का उपयोग नहीं किया गया क्योंकि उनमें से 8 ने कभी भी अपनी सोशल मीडिया उपस्थिति शुरू नहीं की और किसी भी विज्ञापन गतिविधियों में शामिल नहीं हुए। साइबर अपराधी के प्रयास स्पष्ट रूप से सफल रहे। APT31 की नकली एजेंसियां 16 वास्तविक विज्ञापन प्लेटफार्मों के साथ प्रत्यक्ष व्यावसायिक संबंध बनाने में कामयाब रहीं।

यातायात का केवल एक छोटा सा हिस्सा उन्हें वास्तविक पेलोड पर पुनर्निर्देशित किया गया। पता लगाने और विश्लेषण से बचने के लिए, ज़िरकोनियम ने चोरी के तरीकों का इस्तेमाल किया। APT31 ने फिंगरप्रिंटिंग नामक तकनीक का इस्तेमाल किया। यह एक ऐसी प्रक्रिया है जहां साइबर अपराधी संभावित पीड़ितों के सिस्टम के बारे में जानकारी एकत्र करते हैं ताकि दर्शकों के एक विशेष हिस्से को अधिक सटीक रूप से लक्षित किया जा सके। फ़िंगरप्रिंटिंग का उपयोग करते समय साइबर अपराधियों का लक्ष्य पता लगाने से बचना है। उस उद्देश्य के लिए, वे ब्राउज़र में जावास्क्रिप्ट का उपयोग करके यह पता लगाने की कोशिश करेंगे कि स्क्रिप्ट सुरक्षा स्कैनर के खिलाफ चल रही है या नहीं। यदि स्कैनर के लक्षण पाए जाते हैं, तो पेलोड डिलीवर नहीं किया जाएगा। फिंगरप्रिंटिंग से जुड़ा जोखिम है। स्क्रिप्ट की तलाश करने वाले किसी भी व्यक्ति को यह दिखाई देता है और यह संदेह पैदा कर सकता है, लेकिन फ़िंगरप्रिंटिंग पेलोड की अधिक संख्या में तैनाती की अनुमति देता है।

APT31 अपनी डरपोक रणनीति का लाभ उठाता है

ऐसी पहचान से बचने के अन्य तरीके हैं जिनमें उपयोगकर्ता की ओर से स्क्रिप्ट चलाना शामिल नहीं है। सर्वर साइड मैकेनिज्म लागू करने के लिए सुरक्षित हो सकता है क्योंकि एक सुरक्षा शोधकर्ता उनका विश्लेषण नहीं कर पाएगा जब तक कि वे ट्रिगर न हों। ऐसा ही एक तरीका यह जांचना है कि उपयोगकर्ता का आईपी डेटासेंटर आईपी है या नहीं। स्कैनर्स अक्सर डेटासेंटर आईपी का उपयोग करते हैं और ऐसे आईपी का पता लगाना पेलोड को तैनात नहीं करने का एक स्पष्ट संकेत होगा।

APT31 के मैलवेयर ऑपरेशन के प्रभावशाली पैमाने के बावजूद, सुरक्षा शोधकर्ता अभी भी बौद्धिक संपदा की चोरी पर अपना मुख्य ध्यान केंद्रित करते हैं। ज़िरकोनियम के सभी कार्यों का वास्तविक दायरा अभी भी अज्ञात है क्योंकि उनकी नुकसान करने की क्षमता है।