गोल्डनजैकल खतरा अभिनेता
गोल्डन जैकल के नाम से जाना जाने वाला एक कम-ज्ञात खतरा अभिनेता दूतावासों और सरकारी निकायों को लक्षित करके साइबर हमलों की एक श्रृंखला से जुड़ा हुआ है, जिसका उद्देश्य दो अलग-अलग कस्टम टूलसेट के माध्यम से एयर-गैप्ड सिस्टम में सेंध लगाना है।
इनके निशाने पर बेलारूस में स्थित दक्षिण एशियाई दूतावास और यूरोपीय संघ (ईयू) के भीतर एक सरकारी संगठन शामिल है। गोल्डनजैकल का मुख्य उद्देश्य संवेदनशील जानकारी की चोरी करना प्रतीत होता है, विशेष रूप से हाई-प्रोफाइल सिस्टम से जो इंटरनेट से डिस्कनेक्ट हो सकते हैं।
विषयसूची
गोल्डन जैकल कई वर्षों से सक्रिय है
गोल्डनजैकल की पहली बार मई 2023 में पहचान की गई थी, जब शोधकर्ताओं ने मध्य पूर्व और दक्षिण एशिया में राजनयिक और सरकारी संस्थाओं को निशाना बनाने वाले खतरे वाले समूह के हमलों की सूचना दी थी। समूह के संचालन का पता कम से कम 2019 से लगाया जा सकता है। इन घुसपैठों का एक उल्लेखनीय पहलू जैकलवॉर्म नामक एक कृमि की तैनाती है, जो कनेक्टेड यूएसबी ड्राइव को संक्रमित कर सकता है और जैकलकंट्रोल नामक ट्रोजन वितरित कर सकता है।
हालांकि इन गतिविधियों को किसी विशेष राष्ट्र-राज्य खतरे के साथ निश्चित रूप से जोड़ने के लिए पर्याप्त सबूत नहीं हैं, लेकिन टुर्ला और मोस्टैच्डबाउंसर से संबंधित अभियानों में उपयोग किए गए दुर्भावनापूर्ण उपकरणों के साथ कुछ सामरिक समानताएं मौजूद हैं, जिनमें से बाद वाले ने बेलारूस में विदेशी दूतावासों पर भी ध्यान केंद्रित किया है।
गोल्डनजैकल द्वारा कई मैलवेयर खतरे तैनात किए गए
सूचना सुरक्षा विशेषज्ञों ने अगस्त और सितंबर 2019 के दौरान बेलारूस में एक दक्षिण एशियाई दूतावास में गोल्डन जैकल से जुड़ी कलाकृतियों की पहचान की, और जुलाई 2021 में और खोज की गई। विशेष रूप से, इस ख़तरे वाले अभिनेता ने मई 2022 और मार्च 2024 के बीच यूरोपीय संघ की सरकारी इकाई के खिलाफ़ पूरी तरह से अपडेट किए गए टूलसेट को सफलतापूर्वक तैनात किया।
पांच वर्षों में एयर-गैप्ड प्रणालियों के लिए विशेष रूप से डिजाइन किए गए दो अलग-अलग टूलसेट को विकसित करने और तैनात करने में प्रदर्शित परिष्कार समूह की संसाधनशीलता को दर्शाता है।
बेलारूस में दक्षिण एशियाई दूतावास पर हमले में जैकलकंट्रोल, जैकलस्टील और जैकलवॉर्म के साथ-साथ तीन अलग-अलग मैलवेयर परिवारों का उपयोग किया गया था:
- गोल्डनडीलर, जो समझौता किए गए यूएसबी ड्राइव के माध्यम से एयर-गैप्ड सिस्टम तक निष्पादन योग्य फ़ाइलों की डिलीवरी की सुविधा प्रदान करता है।
- गोल्डनहाउल, एक मॉड्यूलर बैकडोर है जो फ़ाइल चोरी करने, निर्धारित कार्य बनाने, दूरस्थ सर्वर से फ़ाइलों को अपलोड और डाउनलोड करने तथा SSH सुरंग स्थापित करने में सक्षम है।
- गोल्डनरोबो, फ़ाइल संग्रहण और डेटा निष्कासन के लिए डिज़ाइन किया गया एक उपकरण।
हमलों में इस्तेमाल किए जाने वाले धमकी भरे उपकरणों का नया सेट
इसके विपरीत, यूरोप में अनाम सरकारी संगठन को लक्षित करने वाले हमलों में मैलवेयर उपकरणों का एक बिल्कुल नया सेट इस्तेमाल किया गया है जो मुख्य रूप से गो में लिखा गया है। ये उपकरण USB ड्राइव से फ़ाइलें एकत्र करने, USB ड्राइव के माध्यम से मैलवेयर फैलाने, डेटा को बाहर निकालने और अन्य होस्ट को पेलोड वितरित करने के लिए कुछ मशीन सर्वर का उपयोग करने के लिए डिज़ाइन किए गए हैं:
- गोल्डनयूएसबीकॉपी और इसका उन्नत उत्तराधिकारी गोल्डनयूएसबीगो, जो यूएसबी ड्राइव की निगरानी करता है और निष्कासन के लिए फाइलों की प्रतिलिपि बनाता है।
- गोल्डनऐस, जिसका उपयोग मैलवेयर को प्रसारित करने के लिए किया जाता है, जिसमें जैकलवॉर्म का हल्का संस्करण भी शामिल है, इसे USB ड्राइव के माध्यम से अन्य प्रणालियों (जरूरी नहीं कि एयर-गैप्ड) तक पहुंचाया जाता है।
- गोल्डनब्लैकलिस्ट और इसका पायथन संस्करण गोल्डनपाईब्लैकलिस्ट, जो भविष्य में निष्कासन के लिए रुचिकर ईमेल संदेशों को संसाधित करता है।
- गोल्डनमेलर, जो एकत्रित डेटा को ईमेल के माध्यम से हमलावरों को भेजता है।
- गोल्डनड्राइव, जो एकत्रित जानकारी को गूगल ड्राइव पर अपलोड करता है।
वर्तमान में, यह स्पष्ट नहीं है कि गोल्डनजैकल शुरू में लक्ष्य वातावरण से कैसे समझौता करता है। हालाँकि, शोधकर्ताओं ने पहले सुझाव दिया है कि ट्रोजनकृत स्काइप इंस्टॉलर और दूषित माइक्रोसॉफ्ट वर्ड दस्तावेज़ संभावित प्रवेश बिंदु के रूप में काम कर सकते हैं।
गोल्डन जैकाल का हमला कैसे होता है?
गोल्डनडीलर, एक बार किसी अज्ञात विधि से इंटरनेट से जुड़े कंप्यूटर पर इंस्टॉल होने के बाद, यूएसबी ड्राइव डालने पर सक्रिय हो जाता है। इस क्रिया के परिणामस्वरूप स्वयं और एक अज्ञात वर्म घटक की प्रतिलिपि हटाने योग्य डिवाइस पर बन जाती है। ऐसा माना जाता है कि यह अज्ञात घटक तब क्रियान्वित होता है जब संक्रमित यूएसबी ड्राइव को एयर-गैप्ड सिस्टम से जोड़ा जाता है, जिसके बाद गोल्डनडीलर मशीन के बारे में जानकारी एकत्र करता है और उसे यूएसबी ड्राइव में सहेजता है।
जब USB डिवाइस को इंटरनेट से जुड़े कंप्यूटर में फिर से डाला जाता है, तो GoldenDealer ड्राइव पर संग्रहीत जानकारी को बाहरी सर्वर पर स्थानांतरित कर देता है, जो फिर एयर-गैप्ड सिस्टम पर निष्पादित किए जाने के लिए उपयुक्त पेलोड वापस भेजता है। मैलवेयर डाउनलोड किए गए निष्पादन योग्य फ़ाइलों को USB ड्राइव में कॉपी करने के लिए भी जिम्मेदार है। अंतिम चरण में, जब डिवाइस को फिर से एयर-गैप्ड मशीन से जोड़ा जाता है, तो GoldenDealer कॉपी किए गए निष्पादन योग्य फ़ाइलों को निष्पादित करता है।
इसके अतिरिक्त, गोल्डनरोबो इंटरनेट से जुड़े पीसी पर चलता है, जिसे यूएसबी ड्राइव से फ़ाइलें प्राप्त करने और उन्हें हमलावर द्वारा नियंत्रित सर्वर पर भेजने के लिए डिज़ाइन किया गया है। गो में विकसित इस मैलवेयर का नाम रोबोकॉपी नामक एक वैध विंडोज यूटिलिटी से लिया गया है, जिसका उपयोग यह फ़ाइल ट्रांसफ़र करने के लिए करता है।
अभी तक, शोधकर्ताओं ने एयर-गैप्ड कंप्यूटर से यूएसबी ड्राइव तक फ़ाइलों को स्थानांतरित करने के लिए जिम्मेदार एक अलग मॉड्यूल की पहचान नहीं की है।
केवल पांच वर्षों के भीतर एयर-गैप्ड नेटवर्कों को खतरे में डालने के लिए दो अलग-अलग टूलसेट तैनात करने की क्षमता यह दर्शाती है कि गोल्डनजैकल एक परिष्कृत खतरा अभिनेता है जो अपने लक्ष्यों द्वारा नियोजित नेटवर्क विभाजन रणनीतियों को समझता है।
