कुख्यात छेनी मोबाइल मैलवेयर

रूसी संघ के सशस्त्र बलों के जनरल स्टाफ के मुख्य निदेशालय से संबद्ध साइबर ऑपरेटरों, जिन्हें आमतौर पर जीआरयू कहा जाता है, ने यूक्रेन के भीतर एंड्रॉइड उपकरणों के लिए एक लक्षित अभियान शुरू किया है। इस आक्रमण में उनकी पसंद का हथियार हाल ही में खोजा गया और अशुभ धमकी देने वाला टूलकिट है जिसे 'कुख्यात छेनी' कहा जाता है।

यह ख़राब ढाँचा हैकर्स को ओनियन राउटर (टोर) नेटवर्क के भीतर एक गुप्त सेवा के माध्यम से लक्षित उपकरणों तक पिछले दरवाजे से पहुँच प्रदान करता है। यह सेवा हमलावरों को स्थानीय फ़ाइलों को स्कैन करने, नेटवर्क ट्रैफ़िक को रोकने और संवेदनशील डेटा निकालने की क्षमता प्रदान करती है।

यूक्रेनी सुरक्षा सेवा (एसएसयू) ने सबसे पहले खतरे के बारे में अलार्म बजाया, और इस मैलवेयर का उपयोग करके सैन्य कमांड सिस्टम में घुसपैठ करने के सैंडवर्म हैकिंग समूह के प्रयासों के बारे में जनता को सचेत किया।

इसके बाद, यूके नेशनल साइबर सिक्योरिटी सेंटर (एनसीएससी) और यूएस साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी (सीआईएसए) दोनों ने कुख्यात छेनी के जटिल तकनीकी पहलुओं की जांच की है। उनकी रिपोर्टें इसकी क्षमताओं पर प्रकाश डालती हैं और इस साइबर खतरे के खिलाफ रक्षा उपायों को मजबूत करने के लिए अमूल्य अंतर्दृष्टि प्रदान करती हैं।

कुख्यात छेनी हानिकारक क्षमताओं की एक विस्तृत श्रृंखला का दावा करती है

टोर नेटवर्क के माध्यम से समझौता किए गए एंड्रॉइड डिवाइसों पर लगातार नियंत्रण स्थापित करने के लिए डिज़ाइन किए गए कुख्यात छेनी में कई घटकों से समझौता किया गया है। समय-समय पर, यह संक्रमित उपकरणों से पीड़ित डेटा एकत्र और स्थानांतरित करता है।

किसी डिवाइस में सफलतापूर्वक घुसपैठ करने पर, केंद्रीय घटक, 'नेटडी', नियंत्रण ग्रहण कर लेता है और कमांड और शेल स्क्रिप्ट का एक सेट निष्पादित करने के लिए तैयार हो जाता है। स्थायी दृढ़ता सुनिश्चित करने के लिए, यह वैध 'नेटडी' एंड्रॉइड सिस्टम बाइनरी को प्रतिस्थापित करता है।

यह मैलवेयर विशेष रूप से एंड्रॉइड डिवाइसों से समझौता करने और यूक्रेनी सेना से संबंधित जानकारी और एप्लिकेशन को सावधानीपूर्वक स्कैन करने के लिए डिज़ाइन किया गया है। फिर सभी अर्जित डेटा को अपराधी के सर्वर पर भेज दिया जाता है।

भेजी गई फ़ाइलों के दोहराव को रोकने के लिए, '.google.index' नाम की एक छिपी हुई फ़ाइल, प्रेषित डेटा पर नज़र रखने के लिए MD5 हैश का उपयोग करती है। सिस्टम की क्षमता 16,384 फ़ाइलों तक सीमित है, इसलिए डुप्लिकेट को इस सीमा से परे निकाला जा सकता है।

जब फ़ाइल एक्सटेंशन की बात आती है तो कुख्यात छेनी एक विस्तृत जाल बिछाती है, जिसमें .dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx सहित एक व्यापक सूची को लक्षित किया जाता है। , .csv, .zip, टेलीफोनी.db, .png, .jpg, .jpeg, .kme, डेटाबेस.hik, डेटाबेस.hik-journal, ezvizlog.db, कैशे4.db, contacts2.db, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, लॉकसेटिंग्स.db, mmssms.db, टेलीफोनी.db, सिग्नल.db, mmssms.db, प्रोफ़ाइल.db, अकाउंट्स.db, PyroMsg.DB, .exe , .किमी.एल. इसके अलावा, यह डिवाइस की आंतरिक मेमोरी और किसी भी उपलब्ध एसडी कार्ड को स्कैन करता है, जिससे डेटा की खोज में कोई कसर नहीं छोड़ी जाती है।

संवेदनशील डेटा प्राप्त करने के लिए हमलावर कुख्यात छेनी का उपयोग कर सकते हैं

कुख्यात चिज़ल मैलवेयर एंड्रॉइड की / डेटा / निर्देशिका के भीतर एक व्यापक स्कैन करता है, जो Google प्रमाणक, ओपनवीपीएन कनेक्ट, पेपाल, वाइबर, व्हाट्सएप, सिग्नल, टेलीग्राम, जीमेल, क्रोम, फ़ायरफ़ॉक्स, ब्रेव, माइक्रोसॉफ्ट वन क्लाउड, एंड्रॉइड संपर्क जैसे अनुप्रयोगों की तलाश करता है। , और अन्य की एक श्रृंखला।

इसके अलावा, यह खतरनाक सॉफ़्टवेयर हार्डवेयर जानकारी एकत्र करने और खुले पोर्ट और सक्रिय होस्ट की पहचान करने के लिए स्थानीय क्षेत्र नेटवर्क पर स्कैन करने की क्षमता रखता है। हमलावर SOCKS और SSH कनेक्शन के माध्यम से रिमोट एक्सेस प्राप्त कर सकते हैं, जिसे यादृच्छिक रूप से उत्पन्न .ONION डोमेन के माध्यम से पुनः रूट किया जाता है।

फ़ाइलों और डिवाइस डेटा का निष्कासन नियमित अंतराल पर होता है, ठीक हर 86,000 सेकंड में, जो एक दिन के बराबर होता है। LAN स्कैनिंग गतिविधियां हर दो दिन में होती हैं, जबकि अत्यधिक संवेदनशील सैन्य डेटा का निष्कर्षण 600 सेकंड (हर 10 मिनट) के अंतराल पर कहीं अधिक बार होता है।

इसके अलावा, रिमोट एक्सेस की सुविधा देने वाली टोर सेवाओं का कॉन्फ़िगरेशन और निष्पादन हर 6,000 सेकंड में होने वाला है। नेटवर्क कनेक्टिविटी बनाए रखने के लिए, मैलवेयर हर 3 मिनट में 'जियोडेटाटू(डॉट)कॉम' डोमेन पर जांच करता है।

यह ध्यान देने योग्य है कि कुख्यात छेनी मैलवेयर गुप्तता को प्राथमिकता नहीं देता है; इसके बजाय, ऐसा प्रतीत होता है कि इसकी रुचि तेजी से डेटा घुसपैठ और तेजी से अधिक मूल्यवान सैन्य नेटवर्क की ओर बढ़ने में है।