130,000 डिवाइसों के विशाल चीनी बॉटनेट ने माइक्रोसॉफ्ट 365 खातों को निशाना बनाया
चीन से जुड़े एक शक्तिशाली बॉटनेट को Microsoft 365 खातों के खिलाफ बड़े पैमाने पर पासवर्ड स्प्रेइंग हमले करते हुए पकड़ा गया है, जिससे व्यवसायों और संगठनों को गंभीर खतरा है। सिक्योरिटीस्कोरकार्ड के अनुसार, इस बॉटनेट को चौंका देने वाले 130,000 से अधिक समझौता किए गए उपकरणों द्वारा संचालित किया जाता है, जो इसे अपनी तरह का सबसे बड़ा साइबर खतरा बनाता है।
विषयसूची
हमला कैसे काम करता है?
यह बॉटनेट गैर-इंटरैक्टिव साइन-इन और बेसिक ऑथेंटिकेशन का फायदा उठाता है, जो कि Microsoft 365 सुरक्षा में दो कमजोर बिंदु हैं, जो हमलावरों को कई कॉन्फ़िगरेशन में मल्टी-फैक्टर ऑथेंटिकेशन को ट्रिगर किए बिना चोरी किए गए क्रेडेंशियल्स का परीक्षण करने की अनुमति देते हैं।
गैर-इंटरैक्टिव साइन-इन का उपयोग अक्सर सेवा-से-सेवा प्रमाणीकरण और POP, IMAP और SMTP जैसे लीगेसी प्रोटोकॉल के लिए किया जाता है, जिससे सुरक्षा टीमों द्वारा उनकी कम जांच की जाती है। बेसिक ऑथेंटिकेशन, हालांकि Microsoft द्वारा अप्रचलित किया जा रहा है, फिर भी कुछ वातावरणों में सक्रिय है, जिससे क्रेडेंशियल को सादे टेक्स्ट में प्रसारित किया जा सकता है - जो हैकर्स के लिए एक आसान लक्ष्य है।
बॉटनेट चुराए गए उपयोगकर्ता नाम और पासवर्ड लेता है, जिन्हें अक्सर इन्फोस्टीलर मैलवेयर द्वारा इकट्ठा किया जाता है, और Microsoft 365 खातों के खिलाफ व्यवस्थित रूप से उनका परीक्षण करता है। सफल होने पर, हमलावर संवेदनशील डेटा तक पहुँच प्राप्त कर लेते हैं, व्यावसायिक संचालन को बाधित करते हैं, और संगठन के भीतर तितर-बितर हो जाते हैं।
इस हमले का पता लगाना कठिन क्यों है?
इस हमले का सबसे भयावह पहलू इसका गुप्त होना है। चूंकि पासवर्ड स्प्रेइंग के प्रयासों को गैर-इंटरैक्टिव साइन-इन के तहत लॉग किया जाता है, इसलिए कई सुरक्षा टीमें इन रिकॉर्डों की बारीकी से निगरानी करने में विफल रहती हैं। इससे हमलावरों को रडार से बच निकलने का मौका मिल जाता है, जबकि वे व्यवस्थित तरीके से खातों में सेंध लगाने की कोशिश करते हैं।
सिक्योरिटीस्कोरकार्ड ने संयुक्त राज्य अमेरिका में कमांड और कंट्रोल सर्वर की भी पहचान की, जो चार घंटे की अवधि में 130,000 संक्रमित उपकरणों के साथ संचार कर रहे थे। ये उपकरण, संभवतः एक बड़े वैश्विक नेटवर्क का हिस्सा हैं, जो हमलावरों को अपने संचालन को तेज़ी से बढ़ाने में सक्षम बनाते हैं।
बॉटनेट के पीछे कौन है?
हालांकि इस हमले को चीनी ख़तरा समूह से जोड़ा गया है, लेकिन इसकी जिम्मेदारी तय करने के लिए जांच जारी है। हालाँकि, इस बॉटनेट में पहले से पहचाने गए चीनी साइबर-जासूसी अभियानों जैसी विशेषताएँ हैं।
उल्लेखनीय रूप से, माइक्रोसॉफ्ट ने अक्टूबर 2024 में रिपोर्ट की थी कि कई चीनी खतरे वाले अभिनेता बड़े पैमाने पर पासवर्ड स्प्रेइंग ऑपरेशन से चुराए गए क्रेडेंशियल्स का उपयोग कर रहे थे। यह अभियान CovertNetwork-1658, Xlogin और Quad7 नामक समझौता किए गए नेटवर्क से जुड़ा था।
अपने संगठन की सुरक्षा कैसे करें
इस बॉटनेट द्वारा Microsoft 365 खातों को सक्रिय रूप से लक्षित किए जाने के कारण, संगठनों को अपनी सुरक्षा को मजबूत करने के लिए तत्काल कदम उठाने चाहिए:
- यदि आपके वातावरण में मूल प्रमाणीकरण अभी भी सक्षम है तो उसे अक्षम करें।
- सभी उपयोगकर्ताओं के लिए आधुनिक प्रमाणीकरण और बहु-कारक प्रमाणीकरण सक्षम करें, विशेष रूप से गैर-इंटरैक्टिव साइन-इन के लिए।
- असामान्य लॉगइन पैटर्न के लिए गैर-इंटरैक्टिव साइन-इन लॉग की नियमित रूप से निगरानी करें।
- सख्त पासवर्ड नीतियों को लागू करके और नियमित परिवर्तनों को लागू करके पासवर्ड स्प्रेइंग को रोकने के लिए मजबूत, अद्वितीय पासवर्ड का उपयोग करें।
- हैकर्स द्वारा क्रेडेंशियल्स एकत्र करने के लिए उपयोग किए जाने वाले इन्फोस्टीलर मैलवेयर से सुरक्षा के लिए एंडपॉइंट सुरक्षा समाधान तैनात करें।
- यदि संभव हो तो Microsoft 365 खातों तक पहुंच को भौगोलिक रूप से प्रतिबंधित करें, भौगोलिक स्थानों के आधार पर लॉगिन को सीमित करें।
अंतिम विचार
Microsoft 365 को निशाना बनाने वाला 130,000 डिवाइस वाला बॉटनेट इस बात की कड़ी याद दिलाता है कि पासवर्ड-आधारित हमले आज भी सबसे बड़े साइबर सुरक्षा खतरों में से एक हैं। चूंकि कई संगठन अभी भी पुराने प्रमाणीकरण तरीकों पर निर्भर हैं, इसलिए हमलावर इन कमज़ोरियों का फ़ायदा उठाना जारी रखते हैं।
Microsoft 365 परिवेशों को सक्रिय रूप से सुरक्षित करके, असामान्य गतिविधि की निगरानी करके, और मजबूत प्रमाणीकरण नीतियों को लागू करके, व्यवसाय इस अत्यधिक परिष्कृत हमले का शिकार होने के अपने जोखिम को कम कर सकते हैं।