हेफ़नियम

HAFNIUM Microsoft द्वारा एक नए हैकर समूह को दिया गया पदनाम है, जिसके बारे में माना जाता है कि यह चीन में स्थित है और चीनी सरकार द्वारा समर्थित है। HAFNIUM हैकर्स अपने दुर्भावनापूर्ण कार्यों में उच्च स्तर की दक्षता और परिष्कार दिखाते हैं। इस खतरे वाले अभिनेता का प्राथमिक लक्ष्य संयुक्त राज्य में संस्थाओं से संवेदनशील डेटा का निष्कासन रहा है। लक्षित पीड़ित कई उद्योग क्षेत्रों में फैले हुए हैं और कानून फर्मों, शिक्षा संस्थानों और रोग शोधकर्ताओं से लेकर रक्षा ठेकेदारों और गैर-सरकारी संगठनों (गैर-सरकारी संगठनों) तक हैं। चीन में स्थित होने के बावजूद, HAFNIUM ने अपने दुर्भावनापूर्ण कार्यों के हिस्से के रूप में संयुक्त राज्य अमेरिका में लीज्ड VPS (वर्चुअल प्राइवेट सर्वर) को शामिल किया है।

Microsoft के साइबर सुरक्षा विश्लेषक पहले से ही कुछ समय के लिए HAFNIUM की गतिविधि की निगरानी कर रहे थे, इससे पहले कि वे अपने निष्कर्षों को सार्वजनिक करने का निर्णय लें, जो कि धमकी देने वाले अभिनेता द्वारा किए गए नवीनतम हमले अभियान के मद्देनजर हैं। HAFNIUM ने चार शून्य-दिन की कमजोरियों का फायदा उठाया जिसने ऑन-प्रिमाइसेस एक्सचेंज सर्वर सॉफ़्टवेयर को प्रभावित किया। खोजी गई कमजोरियों को CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, और CVE-2021-27065 के रूप में ट्रैक किया गया था, और इतनी गंभीर सुरक्षा कमजोरी का प्रतिनिधित्व किया कि Microsoft ने इस मुद्दे को संबोधित करते हुए कई जरूरी अपडेट जारी किए।

इस HAFNIUM ऑपरेशन की हमले श्रृंखला में तीन चरण शामिल हैं। सबसे पहले, हैकर्स या तो चार शून्य-दिन के कारनामों के माध्यम से या चोरी की गई साख तक पहुंच बनाकर लक्ष्य का उल्लंघन करते हैं। एक बार अंदर जाने के बाद, वे एक वेब शेल बनाएंगे जो समझौता किए गए सर्वर पर रिमोट कंट्रोल की अनुमति देता है। अंतिम चरण में, धमकी देने वाला अभिनेता ईमेल खातों तक पहुंच प्राप्त करेगा और एक्सचेंज ऑफ़लाइन पता पुस्तिका डाउनलोड करेगा जिसमें पीड़ित संगठन और उसके उपयोगकर्ताओं के बारे में विभिन्न जानकारी होगी। चुने गए डेटा को .7z और .ZIP जैसी संग्रह फ़ाइलों में एकत्र किया जाएगा और फिर इसे बाहर निकाला जाएगा। पिछले अभियानों में, HAFNIUM ने अक्सर अपने पीड़ितों से एकत्र की गई जानकारी को MEGA जैसी तृतीय-पक्ष डेटा-साझाकरण वेबसाइटों पर अपलोड किया है।
वेब शेल अतिरिक्त मैलवेयर पेलोड को भंग किए गए सर्वर पर जमा करने की अनुमति देता है, जिससे पीड़ित के सिस्टम तक लंबे समय तक पहुंच सुनिश्चित हो सकती है।

जो ग्राहक ऑन-प्रिमाइसेस एक्सचेंज सर्वर का उपयोग करते हैं, उन्हें Microsoft द्वारा जारी किए गए सुरक्षा अद्यतनों को स्थापित करने और कंपनी के सुरक्षा ब्लॉग की जाँच करने के लिए दृढ़ता से प्रोत्साहित किया जाता है जहाँ कई IoC (समझौता संकेतक) विस्तृत किए गए हैं।

HAFNIUM हमले के सार्वजनिक होने की जानकारी के साथ, अन्य हैकर समूहों को अपने स्वयं के संचालन में समान चार शून्य-दिन की कमजोरियों का दुरुपयोग शुरू करने में देर नहीं लगी। कारनामों के खुलासे के बाद केवल नौ दिनों में, Microsoft ने पाया कि एक खतरे वाले अभिनेता ने डियरक्राई नामक रैंसमवेयर का एक नया स्ट्रेन फैलाना शुरू कर दिया है, यह दर्शाता है कि नई खोजी गई सुरक्षा कमजोरियों को शामिल करने के लिए साइबर अपराधी अपने बुनियादी ढांचे को समायोजित करने में कितनी तेजी से बन गए हैं।