एपीटी35

APT35 (एडवांस पर्सिस्टेंट थ्रेट) एक हैकिंग समूह है जिसके बारे में माना जाता है कि इसकी उत्पत्ति ईरान से हुई थी। इस हैकिंग समूह को कई अन्य उपनामों के तहत भी जाना जाता है - न्यूज़कास्टर टीम, फॉस्फोरस, चार्मिंग किटन और अजाक्स सुरक्षा टीम। APT35 हैकिंग समूह आमतौर पर राजनीति से प्रेरित अभियानों के साथ-साथ आर्थिक रूप से प्रेरित दोनों अभियानों में शामिल होता है। APT35 हैकिंग समूह मुख्य रूप से मानवाधिकार सक्रियता, विभिन्न मीडिया संगठनों और शैक्षणिक क्षेत्र में शामिल अभिनेताओं के खिलाफ अपने प्रयासों पर ध्यान केंद्रित करता है। अधिकांश अभियान संयुक्त राज्य अमेरिका, इज़राइल, ईरान और यूनाइटेड किंगडम में किए जाते हैं।

लोकप्रिय APT35 अभियान

सबसे कुख्यात APT35 ऑपरेशनों में से एक है जो 2017 में HBO के खिलाफ किया गया था। इसमें, APT35 ने 1TB से अधिक डेटा लीक किया, जिसमें कर्मचारियों के व्यक्तिगत विवरण और शो शामिल थे, जिन्हें आधिकारिक तौर पर प्रसारित किया जाना बाकी था। एक और कुख्यात APT35 अभियान जिसने उन्हें मानचित्र पर रखा वह वह है जिसमें एक अमेरिकी वायु सेना रक्षक भी शामिल था। विचाराधीन व्यक्ति ने वर्गीकृत सरकारी डेटा तक पहुंच प्राप्त करने में APT35 की सहायता की। 2018 में, APT35 समूह ने एक वेबसाइट बनाई जो एक वैध इज़राइली साइबर सुरक्षा कंपनी की नकल करने के लिए थी। फर्क सिर्फ इतना था कि नकली वेबसाइट का डोमेन नाम थोड़ा बदल गया था। इस अभियान ने APT35 को कंपनी के कुछ ग्राहकों के लॉगिन विवरण प्राप्त करने में मदद की। APT35 से जुड़े नवीनतम कुख्यात अभियान को दिसंबर 2018 में अंजाम दिया गया था। इस ऑपरेशन में, APT35 समूह ने चार्मिंग किटन उर्फ के तहत संचालित किया। इस ऑपरेशन ने विभिन्न राजनीतिक कार्यकर्ताओं को लक्षित किया, जिनका आर्थिक प्रतिबंधों में प्रभाव था, साथ ही उस समय ईरान पर सैन्य प्रतिबंध लगाए गए थे। APT35 समूह ने अपने लक्ष्य के समान क्षेत्रों में शामिल उच्च श्रेणी के पेशेवरों के रूप में पेश किया। हमलावरों ने नकली अटैचमेंट के साथ-साथ फर्जी सोशल मीडिया प्रोफाइल वाले फ़िशिंग ईमेल का इस्तेमाल किया।

फर्जी साक्षात्कार ईमेल के साथ फ़िशिंग

लक्षित फ़िशिंग अभियान चार्मिंग किटन के तौर-तरीकों का हिस्सा हैं, जिसमें हैकर्स नकली ईमेल और सोशल इंजीनियरिंग को निष्पादन विधियों के रूप में उपयोग करते हैं। 2019 के एक अभियान में, चार्मिंग किटन समूह ने वॉल स्ट्रीट जर्नल (डब्ल्यूएसजे) के पूर्व पत्रकारों को प्रतिरूपित किया और एक नकली साक्षात्कार परिदृश्य के साथ अपने इच्छित पीड़ितों से संपर्क किया। समूह को विभिन्न परिदृश्यों का उपयोग करते हुए भी देखा गया है, जैसे कि ''सीएनएन इंटरव्यू'' और ''इनविटेशन टू ए ड्यूश वेले वेबिनार'', आमतौर पर ईरानी और अंतर्राष्ट्रीय मामलों के विषयों के आसपास।

एक विशेष मामले में, हमलावरों ने फ़र्नाज़ फ़स्सी की पहचान का उपयोग करते हुए अरबी में एक फर्जी ईमेल बनाया, जो वर्तमान में न्यूयॉर्क टाइम्स के पत्रकार हैं, जिन्होंने पहले द वॉल स्ट्रीट जर्नल के लिए 17 वर्षों तक काम किया था। दिलचस्प बात यह है कि हैकर्स ने फरनाज़ फासिही को उनके पूर्व नियोक्ता, द वॉल स्ट्रीट जर्नल के लिए काम करने के रूप में प्रस्तुत किया।

नकली साक्षात्कार अनुरोध ईमेल - स्रोत: blog.certfa.com

ईमेल अनुवाद:

नमस्ते *** ***** ******
मेरा नाम फरनाज फासिही है। मैं वॉल स्ट्रीट जर्नल अखबार में पत्रकार हूं।
डब्ल्यूएसजे की मध्य पूर्व टीम विकसित देशों में सफल गैर-स्थानीय व्यक्तियों को पेश करने का इरादा रखती है। अनुसंधान और विज्ञान के दर्शन के क्षेत्र में आपकी गतिविधियों ने मुझे एक सफल ईरानी के रूप में आपका परिचय कराने के लिए प्रेरित किया। मध्य पूर्व टीम के निदेशक ने हमें आपके साथ एक साक्षात्कार स्थापित करने और अपनी कुछ महत्वपूर्ण उपलब्धियों को हमारे दर्शकों के साथ साझा करने के लिए कहा। यह साक्षात्कार हमारे प्यारे देश के युवाओं को अपनी प्रतिभा खोजने और सफलता की ओर बढ़ने के लिए प्रेरित कर सकता है।
कहने की जरूरत नहीं है, यह साक्षात्कार मेरे लिए व्यक्तिगत रूप से एक बड़ा सम्मान है, और मैं आपसे साक्षात्कार के लिए मेरा निमंत्रण स्वीकार करने का आग्रह करता हूं।
प्रश्न मेरे सहयोगियों के एक समूह द्वारा पेशेवर रूप से तैयार किए गए हैं और परिणामी साक्षात्कार डब्ल्यूएसजे के साप्ताहिक साक्षात्कार खंड में प्रकाशित किया जाएगा। जैसे ही आप स्वीकार करेंगे, मैं आपको साक्षात्कार के प्रश्न और आवश्यकताएं भेजूंगा।
*फुटनोट: गैर-स्थानीय उन लोगों को संदर्भित करता है जो दूसरे देशों में पैदा हुए थे।
आपकी दया और ध्यान के लिए धन्यवाद।
फरनाज़ फासीह

ईमेल में निहित सभी लिंक संक्षिप्त URL प्रारूप में थे, जिसका उपयोग हैकर्स अपने पीड़ितों को वैध पते पर मार्गदर्शन करने के लिए करते थे, जबकि उनके उपकरणों, जैसे ऑपरेटिंग सिस्टम, ब्राउज़र और आईपी पते के बारे में आवश्यक जानकारी एकत्र करते थे। अपने ठिकानों पर मुख्य हमले की तैयारी के लिए हैकर्स से इस जानकारी की जरूरत थी।

Google साइट पर होस्ट किए गए नकली WSJ पृष्ठ का नमूना - स्रोत: blog.certfa.com

लक्षित लक्ष्य के साथ सापेक्ष विश्वास स्थापित करने के बाद, हैकर्स उन्हें एक अनूठा लिंक भेजेंगे, जिसमें कथित तौर पर साक्षात्कार के प्रश्न होंगे। फ़ारसी (सीईआरटीएफए) में कंप्यूटर इमरजेंसी रिस्पांस टीम द्वारा परीक्षण किए गए नमूनों के अनुसार, हमलावर अपेक्षाकृत नई विधि का उपयोग कर रहे हैं, जिसने पिछले एक साल में Google साइट्स पर पेज होस्ट करने वाले फिशर्स के साथ बहुत लोकप्रियता हासिल की है।

एक बार जब पीड़ित Google साइट पृष्ठ पर ''डाउनलोड'' बटन पर क्लिक करता है, तो उन्हें एक अन्य नकली पृष्ठ पर पुनर्निर्देशित किया जाएगा जो उनके ईमेल पते और उनके दो-कारक प्रमाणीकरण कोड के लिए मोडलिशका जैसे फ़िशिंग किट का उपयोग करके लॉगिन क्रेडेंशियल्स को काटने का प्रयास करेगा।

APT35 का डाउनपेपर मैलवेयर

डाउनपेपर टूल एक बैकडोर ट्रोजन है, जिसका उपयोग ज्यादातर पहले चरण के पेलोड के रूप में किया जाता है और इसमें निम्नलिखित क्षमताएं होती हैं:

• हमलावर के सी एंड सी (कमांड एंड कंट्रोल) सर्वर के साथ एक कनेक्शन स्थापित करें और कमांड और हानिकारक पेलोड प्राप्त करें, जिन्हें घुसपैठ किए गए मेजबान पर निष्पादित किया जाना है।
• विंडोज रजिस्ट्री के साथ छेड़छाड़ करके दृढ़ता हासिल करें।
• समझौता किए गए सिस्टम के बारे में जानकारी इकट्ठा करें, जैसे हार्डवेयर और सॉफ़्टवेयर डेटा।
• सीएमडी और पावरशेल कमांड निष्पादित करें।

APT35 हैकिंग समूह व्यक्तियों का एक बहुत ही लगातार समूह है, और यह संभावना नहीं है कि वे जल्द ही किसी भी समय अपनी गतिविधियों को रोकने की योजना बना रहे हैं। यह ध्यान में रखते हुए कि ईरान के आसपास का राजनीतिक माहौल कुछ समय से गर्म हो रहा है, संभावना है कि हम भविष्य में APT35 समूह के अभियानों के बारे में सुनते रहेंगे।

अपडेट 10 मई, 2020 - APT35 COVID-19 हैकिंग अभियान में शामिल

साइबर सुरक्षा विशेषज्ञों द्वारा समीक्षा किए गए सार्वजनिक रूप से उपलब्ध वेब अभिलेखागार के एक सेट से पता चला है कि ईरानी हैकिंग समूह, जिसे अन्य नामों के साथ, चार्मिंग किटन के नाम से जाना जाता है, अप्रैल में गिलियड साइंसेज इंक कैलिफोर्निया स्थित दवा कंपनी के खिलाफ COVID-19 अनुसंधान में शामिल साइबर हमले के पीछे था।

सुरक्षा शोधकर्ताओं के सामने आने वाले उदाहरणों में से एक में, हैकर्स ने एक फर्जी ईमेल लॉगिन पृष्ठ का उपयोग किया, जिसे विशेष रूप से कॉर्पोरेट और कानूनी मामलों में शामिल एक शीर्ष गिलियड कार्यकारी से पासवर्ड चोरी करने के लिए डिज़ाइन किया गया था। हमला एक ऐसी वेबसाइट पर पाया गया जिसका उपयोग दुर्भावनापूर्ण गतिविधि के लिए वेब पते को स्कैन करने के लिए किया जाता है, लेकिन शोधकर्ता यह निर्धारित करने में सक्षम नहीं थे कि यह सफल था या नहीं।

ट्रेंडिंग एपीटी हैकर समूह चार्ट - स्रोत: Securitystack.co

हमले पर शोध करने वाले विश्लेषकों में से एक इजरायली साइबर सुरक्षा फर्म क्लियरस्काई के ओहद ज़ैदेनबर्ग थे। उन्होंने टिप्पणी की कि गिलियड के खिलाफ अप्रैल का हमला कॉर्पोरेट ईमेल खातों को एक संदेश के साथ समझौता करने का एक प्रयास था जो एक पत्रकार पूछताछ का प्रतिरूपण करता था। अन्य विश्लेषकों, जो सार्वजनिक रूप से टिप्पणी करने के लिए अधिकृत नहीं थे, ने पुष्टि की है कि हमले में उन डोमेन और सर्वर का इस्तेमाल किया गया था जो पहले ईरानी हैकिंग समूह द्वारा उपयोग किए गए थे जिन्हें चार्मिंग किटन के नाम से जाना जाता था।

संयुक्त राष्ट्र में ईरान के राजनयिक मिशन ने इस तरह के हमलों में किसी भी तरह की भागीदारी से इनकार किया है, प्रवक्ता अलीरेज़ा मिरौसेफी ने कहा कि "ईरानी सरकार साइबर युद्ध में शामिल नहीं है," "साइबर गतिविधियों में ईरान संलग्न है, विशुद्ध रूप से रक्षात्मक है और आगे के हमलों से बचाने के लिए है। ईरानी बुनियादी ढांचा।"

हाल के ईरानी साइबर अभियानों में लक्षित देश - स्रोत: Stratfor.com

गिलियड ने साइबर सुरक्षा मामलों पर चर्चा करने के लिए कंपनी की नीति का पालन किया है और टिप्पणी करने से इनकार कर दिया है। कंपनी ने हाल ही में बहुत ध्यान आकर्षित किया है, क्योंकि यह एंटीवायरल ड्रग रेमेडिसविर का निर्माता है, जो वर्तमान में COVID-19 से संक्रमित रोगियों की मदद करने के लिए एकमात्र उपचार साबित हुआ है। गिलियड भी उन कंपनियों में से एक है जो घातक बीमारी के इलाज के लिए अनुसंधान और विकास का नेतृत्व कर रही है, जो इसे खुफिया जानकारी एकत्र करने के प्रयासों का एक प्रमुख लक्ष्य बनाती है।