MirrorFace APT

जापान की राष्ट्रीय पुलिस एजेंसी (NPA) और नेशनल सेंटर ऑफ़ इंसिडेंट रेडीनेस एंड स्ट्रैटेजी फ़ॉर साइबरसिक्यूरिटी (NCSC) ने चीन से जुड़े एक ख़तरनाक अभिनेता पर मिररफ़ेस के नाम से लंबे समय से चल रहे साइबर हमले के अभियान को अंजाम देने का आरोप लगाया है। 2019 से, इस समूह ने कथित तौर पर जापान भर में संगठनों, व्यवसायों और व्यक्तियों को निशाना बनाया है, जिसका उद्देश्य राष्ट्रीय सुरक्षा और उन्नत तकनीक से संबंधित जानकारी चुराना है।

मिररफेस का APT10 से लिंक

मिररफेस को अर्थ काशा के नाम से भी जाना जाता है, माना जाता है कि यह प्रसिद्ध APT10 थ्रेट एक्टर का एक उपसमूह है। इस समूह ने अपने उद्देश्यों को प्राप्त करने के लिए ANEL, LODEINFO और NOOPDOOR (जिसे हिडनफेस के नाम से भी जाना जाता है) जैसे परिष्कृत उपकरणों का उपयोग करते हुए जापानी संस्थाओं पर व्यवस्थित रूप से हमला किया है।

स्पीयर-फ़िशिंग और लक्ष्य विस्तार

शोधकर्ताओं ने स्पीयर-फ़िशिंग अभियान के विवरण का खुलासा किया है जिसमें मिररफ़ेस ने जापान में व्यक्तियों और संगठनों को ANEL और NOOPDOOR तैनात करने के लिए लक्षित किया था। पिछले कुछ वर्षों में, ताइवान और भारत में संस्थाओं को लक्षित करने वाले इसी तरह के ऑपरेशन देखे गए हैं, जो समूह के व्यापक रणनीतिक हित को दर्शाता है।

तीन प्रमुख आक्रमण अभियानों की पहचान की गई

एनपीए और एनसीएससी के अनुसार, मिररफेस की गतिविधियों को तीन प्रमुख अभियानों में वर्गीकृत किया गया है:

• अभियान ए (दिसंबर 2019 - जुलाई 2023 ): इस चरण में थिंक टैंक, सरकारी एजेंसियों, राजनेताओं और मीडिया संगठनों पर ध्यान केंद्रित किया गया। हमलावरों ने LODEINFO , NOOPDOOR और Lilith RAT के कस्टमाइज्ड वर्जन LilimRAT को डिलीवर करने के लिए स्पीयर-फ़िशिंग ईमेल का इस्तेमाल किया।
• अभियान बी (फरवरी - अक्टूबर 2023) : इस अवधि के दौरान, मिररफेस ने अपना ध्यान सेमीकंडक्टर, विनिर्माण, संचार, शैक्षणिक और एयरोस्पेस क्षेत्रों पर केंद्रित कर दिया। समूह ने नेटवर्क में घुसपैठ करने और कोबाल्ट स्ट्राइक बीकन, लोडेइनफो और नूपडोर को तैनात करने के लिए ऐरे नेटवर्क, सिट्रिक्स और फोर्टिनेट से इंटरनेट-फेसिंग डिवाइस में ज्ञात कमजोरियों का फायदा उठाया।
• अभियान सी (जून 2024 से): सबसे हालिया हमलों ने मुख्य रूप से शिक्षाविदों, थिंक टैंकों, राजनेताओं और मीडिया संगठनों को निशाना बनाया है। हमलावर स्पीयर-फ़िशिंग ईमेल का उपयोग करना जारी रखते हैं, इस बार ANEL (जिसे UPPERCUT के रूप में भी जाना जाता है) वितरित करने के लिए।

चोरी की तकनीकें और गुप्त संचार

मिररफेस ने दृढ़ता बनाए रखने और पहचान से बचने के लिए उन्नत तकनीकों का इस्तेमाल किया है। एक उल्लेखनीय रणनीति में विजुअल स्टूडियो कोड रिमोट टनल का उपयोग करके गुप्त कनेक्शन स्थापित करना शामिल है, जिससे खतरे वाले अभिनेताओं को नेटवर्क सुरक्षा को बायपास करने और समझौता किए गए सिस्टम पर रिमोट कंट्रोल बनाए रखने में सक्षम बनाया जा सके।

गुप्त निष्पादन के लिए विंडोज़ सैंडबॉक्स

जांचकर्ताओं ने यह भी पाया कि हमलावर विंडोज सैंडबॉक्स वातावरण में खतरनाक पेलोड को अंजाम दे रहे हैं। यह दृष्टिकोण मैलवेयर को एंटीवायरस सॉफ़्टवेयर या एंडपॉइंट डिटेक्शन एंड रिस्पॉन्स (EDR) सिस्टम द्वारा पता लगाए बिना काम करने की अनुमति देता है। इसके अलावा, एक बार जब होस्ट कंप्यूटर बंद हो जाता है या फिर से चालू हो जाता है, तो मैलवेयर के सभी निशान मिट जाते हैं, जिससे कोई फोरेंसिक सबूत नहीं बचता।

राष्ट्रीय सुरक्षा के लिए निरंतर खतरा

मिररफेस द्वारा इस्तेमाल की जाने वाली लगातार और विकसित होती रणनीति जापान के सामने मौजूद साइबर खतरों को उजागर करती है। महत्वपूर्ण क्षेत्रों को लक्षित करके और परिष्कृत बचाव रणनीतियों को अपनाकर, समूह राष्ट्रीय सुरक्षा और तकनीकी प्रगति के लिए एक गंभीर चुनौती पेश करना जारी रखता है। अधिकारी संगठनों से स्पीयर-फ़िशिंग प्रयासों के प्रति सतर्क रहने और उभरते खतरों के खिलाफ अपने साइबर सुरक्षा बचाव को मजबूत करने का आग्रह करते हैं।