आकर्षक बिल्ली का बच्चा APT

आकर्षक बिल्ली का बच्चा, जिसे APT35 के नाम से भी जाना जाता है, एक उन्नत लगातार खतरा है, एक हैकर समूह संदिग्ध ईरानी संबंधों के साथ। समूह को अन्य नामों से भी जाना जाता है: फॉस्फोरस, अजाक्स सुरक्षा टीम और न्यूज़कास्टर टीम। आकर्षक बिल्ली के बच्चे को राजनीतिक रूप से प्रेरित अभियानों के लिए देखा गया है, लेकिन वित्तीय कारणों से प्रेरित भी। वे मानवाधिकार कार्यकर्ताओं, मीडिया संगठनों और शैक्षणिक क्षेत्र के लिए लक्ष्य बना रहे हैं। उनके अधिकांश अभियान यूनाइटेड किंगडम, संयुक्त राज्य अमेरिका, ईरान और इज़राइल पर हमलों पर जोर दे रहे थे।

आकर्षक बिल्ली का बच्चा अभियान

हैकर समूह द्वारा किए गए अधिक व्यापक कार्यों में से एक 2017 में एचबीओ के खिलाफ किया गया था। साइबर अपराधियों ने कंपनी के कर्मचारियों, आगामी शो और अन्य पर व्यक्तिगत जानकारी के साथ एक टेराबाइट डेटा लीक किया। चार्मिंग किटन, उर्फ एपीटी 35 द्वारा किए गए अन्य हमलों में अमेरिकी वायु सेना के रक्षक के माध्यम से विस्तृत डेटा तक पहुंच और लॉगिन विवरण चोरी करने के लिए एक इज़राइली साइबर सुरक्षा कंपनी की वेबसाइट को धोखा देना शामिल था। जिस हमले ने उन्हें ईरान से बांधा, वह राजनीतिक कार्यकर्ताओं के उद्देश्य से 2018 का एक ऑपरेशन था जिसने देश के खिलाफ प्रतिबंधों को प्रभावित किया। आकर्षक बिल्ली के बच्चे के गुर्गों ने उच्च रैंकिंग वाले पेशेवरों के रूप में पोज देने के लिए दुर्भावनापूर्ण अनुलग्नकों और सोशल इंजीनियरिंग के साथ फ़िशिंग ईमेल का उपयोग किया।

आकर्षक बिल्ली के बच्चे के लिए ईरानी कोण

लक्षित फ़िशिंग अभियान APT35 (आकर्षक बिल्ली का बच्चा) व्यवसाय करने के तरीके का हिस्सा थे, जैसा कि उनके 2019 के अभियान के साथ देखा जा सकता है जिसका उद्देश्य वॉल स्ट्रीट जर्नल के पूर्व पत्रकारों का प्रतिरूपण करना था। वे उस समय ईरानी और अंतर्राष्ट्रीय मामलों के विषयों पर साक्षात्कार या वेबिनार के निमंत्रण के वादे के साथ अपने पंजे को अपने शिकार में डुबोने के लिए उस दृष्टिकोण का इस्तेमाल करते थे।
इन मामलों में से एक में, हमलावरों ने फर्जी पहचान के तहत अरबी में एक ईमेल बनाया, जिसमें वास्तविक जीवन के फ़र्नाज़ फ़स्सी की नकल की गई, जो वॉल स्ट्रीट जर्नल के पूर्व कर्मचारी थे और प्रकाशन के लिए 17 साल से काम कर रहे थे। आकर्षक बिल्ली के बच्चे के गुर्गों ने इस नकली व्यक्तित्व को अभी भी WSJ के लिए काम कर रहे के रूप में प्रस्तुत किया।

नकली साक्षात्कार अनुरोध। स्रोत: blog.certfa.com

ईमेल की सामग्री इस प्रकार थी:

नमस्ते *** ***** ******
मेरा नाम फरनाज फासिही है। मैं वॉल स्ट्रीट जर्नल अखबार में पत्रकार हूं।
डब्ल्यूएसजे की मध्य पूर्व टीम विकसित देशों में सफल गैर-स्थानीय व्यक्तियों को पेश करने का इरादा रखती है। अनुसंधान और विज्ञान के दर्शन के क्षेत्र में आपकी गतिविधियों ने मुझे एक सफल ईरानी के रूप में आपका परिचय कराने के लिए प्रेरित किया। मध्य पूर्व टीम के निदेशक ने हमें आपके साथ एक साक्षात्कार स्थापित करने और अपनी कुछ महत्वपूर्ण उपलब्धियों को हमारे दर्शकों के साथ साझा करने के लिए कहा। यह साक्षात्कार हमारे प्यारे देश के युवाओं को अपनी प्रतिभा खोजने और सफलता की ओर बढ़ने के लिए प्रेरित कर सकता है।
कहने की जरूरत नहीं है, यह साक्षात्कार मेरे लिए व्यक्तिगत रूप से एक बड़ा सम्मान है, और मैं आपसे साक्षात्कार के लिए मेरा निमंत्रण स्वीकार करने का आग्रह करता हूं।
प्रश्न मेरे सहयोगियों के एक समूह द्वारा पेशेवर रूप से तैयार किए गए हैं और परिणामी साक्षात्कार डब्ल्यूएसजे के साप्ताहिक साक्षात्कार खंड में प्रकाशित किया जाएगा। जैसे ही आप स्वीकार करेंगे, मैं आपको साक्षात्कार के प्रश्न और आवश्यकताएं भेजूंगा।
*फुटनोट: गैर-स्थानीय उन लोगों को संदर्भित करता है जो दूसरे देशों में पैदा हुए थे।
आपकी दया और ध्यान के लिए धन्यवाद।
फरनाज़ फासीह

ईमेल के भीतर के लिंक एक छोटे URL प्रारूप में थे, जिनका उपयोग अक्सर धमकी देने वाले अभिनेताओं द्वारा उनके पीछे वैध लिंक को छिपाने के लिए किया जाता था, जिसका उद्देश्य आईपी पते, ब्राउज़र और ओएस संस्करणों और अधिक का डेटा संग्रह करना था। इसने बार-बार संचार के साथ विश्वास बनाने और कार्य करने के लिए तैयारी करके आगे के हमलों का मार्ग प्रशस्त करने में मदद की।

समय के साथ विश्वास स्थापित होने के बाद, हैकर्स एक लिंक भेज देते हैं जिसमें कथित साक्षात्कार प्रश्न होते हैं। कंप्यूटर इमरजेंसी रिस्पांस टीम इन फ़ारसी (सीईआरटीएफए) के नमूनों ने दिखाया कि हमलावर हाल के वर्षों में Google साइट्स द्वारा होस्ट किए गए पृष्ठों के साथ फ़िशर द्वारा उपयोग की जाने वाली विधि का उपयोग कर रहे थे।

एक बार जब पीड़ित लिंक खोलता है, तो उन्हें एक अन्य नकली पृष्ठ पर पुनर्निर्देशित किया जा सकता है जो फ़िशिंग किट के उपयोग के माध्यम से उनके लॉगिन क्रेडेंशियल और दो-कारक प्रमाणीकरण कोड को रिकॉर्ड करने का प्रयास करता है।

आकर्षक बिल्ली का बच्चा संचालन का सारांश

2015 में शोधकर्ताओं द्वारा फ़िशिंग हमलों की पहली लहर की खोज की गई थी, बाद में क्लीयरस्काई के शोधकर्ताओं द्वारा 2016 से 2017 तक बड़े पैमाने पर जासूसी के संचालन की खोज की गई थी। आकर्षक बिल्ली के बच्चे के संचालकों ने प्रतिरूपण, भाला-फ़िशिंग और वाटरिंग होल हमलों का इस्तेमाल किया।

2018 में चार्मिंग किटन साइबर क्रिमिनल्स एक फर्जी वेबसाइट के साथ ClearSky के पीछे चले गए, जो सुरक्षा कंपनी के पोर्टल का प्रतिरूपण कर रहा था। उस वर्ष नकली ईमेल अभियान और नकली वेबसाइटों के साथ मध्य पूर्वी लक्ष्यों के खिलाफ अधिक हमलों की पहचान की गई थी।

2019 में चार्मिंग किटन (APT35) गतिविधियों का विस्तार अमेरिका, मध्य पूर्व और फ्रांस में गैर-ईरानियों को लक्षित करके किया गया, जिसमें वे अकादमिक फ़ाइंड्स के बाहर सार्वजनिक आंकड़ों को लक्षित कर रहे थे, जिसके लिए वे शुरुआत में जा रहे थे। उन्होंने भौगोलिक स्थान डेटा प्राप्त करने के इरादे से अन्य खातों को अग्रेषित ईमेल का पालन करने के लिए अपने ईमेल पत्राचार में एक ट्रैकर संलग्न करना शुरू कर दिया।

>>>अद्यतन 10 मई, 2020 - APT35 (आकर्षक बिल्ली का बच्चा) COVID-19 हैकिंग अभियान में शामिल

साइबर सुरक्षा विशेषज्ञों द्वारा समीक्षा किए गए सार्वजनिक रूप से उपलब्ध वेब अभिलेखागार के एक सेट से पता चला है कि ईरानी हैकिंग समूह, जिसे अन्य नामों के साथ, चार्मिंग किटन के नाम से जाना जाता है, अप्रैल में गिलियड साइंसेज इंक कैलिफोर्निया स्थित दवा कंपनी के खिलाफ COVID-19 अनुसंधान में शामिल साइबर हमले के पीछे था।

सुरक्षा शोधकर्ताओं के सामने आने वाले उदाहरणों में से एक में, हैकर्स ने एक फर्जी ईमेल लॉगिन पृष्ठ का उपयोग किया, जिसे विशेष रूप से कॉर्पोरेट और कानूनी मामलों में शामिल एक शीर्ष गिलियड कार्यकारी से पासवर्ड चोरी करने के लिए डिज़ाइन किया गया था। हमला एक ऐसी वेबसाइट पर पाया गया जिसका उपयोग दुर्भावनापूर्ण गतिविधि के लिए वेब पते को स्कैन करने के लिए किया जाता है, लेकिन शोधकर्ता यह निर्धारित करने में सक्षम नहीं थे कि यह सफल था या नहीं।
हमले पर शोध करने वाले विश्लेषकों में से एक इजरायली साइबर सुरक्षा फर्म ClearSky के ओहद ज़ैदेनबर्ग थे। उन्होंने टिप्पणी की कि गिलियड के खिलाफ अप्रैल का हमला एक संदेश के साथ कॉर्पोरेट ईमेल खातों से समझौता करने का एक प्रयास था जो एक पत्रकार पूछताछ का प्रतिरूपण करता था। अन्य विश्लेषकों, जो सार्वजनिक रूप से टिप्पणी करने के लिए अधिकृत नहीं थे, ने पुष्टि की है कि हमले में उन डोमेन और सर्वर का इस्तेमाल किया गया था जो पहले ईरानी हैकिंग समूह द्वारा उपयोग किए गए थे जिन्हें चार्मिंग किटन के नाम से जाना जाता था।

ट्रेंडिंग एपीटी हैकर समूह चार्ट - स्रोत: Securitystack.co

संयुक्त राष्ट्र में ईरान के राजनयिक मिशन ने इस तरह के हमलों में किसी भी तरह की संलिप्तता से इनकार किया है, प्रवक्ता अलीरेज़ा मिरयूसेफ़ी ने कहा कि "ईरानी सरकार साइबर युद्ध में शामिल नहीं है," "साइबर गतिविधियों में ईरान संलग्न है, विशुद्ध रूप से रक्षात्मक है और आगे के हमलों से बचाने के लिए है। ईरानी बुनियादी ढांचा।"

गिलियड ने साइबर सुरक्षा मामलों पर चर्चा करने के लिए कंपनी की नीति का पालन किया है और टिप्पणी करने से इनकार कर दिया है। कंपनी ने हाल ही में बहुत ध्यान आकर्षित किया है, क्योंकि यह एंटीवायरल ड्रग रेमेडिसविर का निर्माता है, जो वर्तमान में एकमात्र उपचार है जो COVID-19 से संक्रमित रोगियों की मदद करने के लिए सिद्ध हुआ है। गिलियड भी उन कंपनियों में से एक है जो घातक बीमारी के इलाज के लिए अनुसंधान और विकास का नेतृत्व कर रही है, जो इसे खुफिया जानकारी एकत्र करने के प्रयासों का एक प्रमुख लक्ष्य बनाती है।