Nobelium APT

Nobelium APT विवरण

नोबेलियम एपीटी पिछले साल साइबर-जासूसी परिदृश्य पर एक प्रमुख खिलाड़ी बन गया जब पहले अज्ञात हैकर समूह ने सॉफ्टवेयर डेवलपर सोलरविंड्स के खिलाफ बड़े पैमाने पर आपूर्ति-श्रृंखला पर हमला किया। उस समय, Microsoft ने हैकर कलेक्टिव को सोलारिगेट नाम दिया था लेकिन बाद में इसे नोबेलियम में बदल दिया। साइबर सुरक्षा कंपनी FireEye UNC2542 पदनाम के तहत समूह की गतिविधि को ट्रैक करती है।

ओरियन हमला

 SolarWinds के खिलाफ हैक, नोबेलियम ने चार अलग-अलग मैलवेयर उपभेदों को तैनात किया, जिससे उन्हें आपूर्ति-श्रृंखला हमले को व्यवस्थित करने में मदद मिली। सबसे पहले, हैकर्स ने सोलरविंड्स के नेटवर्क में सेंध लगने के तुरंत बाद एक बिल्ड सर्वर पर सनस्पॉट मालवेयर गिरा दिया। मैलवेयर स्ट्रेन को एक विलक्षण उद्देश्य के साथ डिज़ाइन किया गया था - बिल्ड सर्वर पर प्रतीक्षा करने के लिए जब तक कि यह एक बिल्ड कमांड का पता नहीं लगाता है जो सोलरविंड्स के मुख्य उत्पादों में से एक को इकट्ठा करता है - आईटी संसाधन निगरानी प्लेटफॉर्म ओरियन। उस समय 33,000 से अधिक ग्राहक ओरियन का उपयोग कर रहे थे। जब सनस्पॉट सक्रिय करने के लिए सही परिस्थितियों की पहचान करता है, तो यह गुप्त रूप से कुछ स्रोत कोड फ़ाइलों को भ्रष्ट लोगों के साथ बदल देगा जो अगले चरण के पेलोड - सनबर्स्ट मैलवेयर को लोड करने के लिए जिम्मेदार थे। नतीजतन, ओरियन का अब ट्रोजनाइज्ड संस्करण कंपनी के ग्राहकों को वितरित किया गया था, जिन्होंने इसे निष्पादित करने पर अपने आंतरिक नेटवर्क को संक्रमित कर दिया था।

 सनबर्स्ट ने एक टोही उपकरण के रूप में काम किया जिसने समझौता किए गए संगठन के सिस्टम से डेटा एकत्र किया और फिर उसे हैकर्स को वापस भेज दिया। तब एकत्रित की गई जानकारी का उपयोग नोबेलियम द्वारा यह तय करने के लिए किया गया था कि क्या विशिष्ट पीड़ित हमले को और आगे बढ़ाने के लिए पर्याप्त महत्वपूर्ण था। जिन लोगों को जोखिम के लायक समझा गया था, वे हमले के अंतिम चरण के अधीन थे, जिसमें अधिक शक्तिशाली टियरड्रॉप बैकडोर को तैनात करना शामिल था। साथ ही टियरड्रॉप की डिलीवरी के साथ, सनबर्स्ट को निर्देश दिया गया कि वह समझौता किए गए सिस्टम पर हमलावर के पदचिह्न को कम करने के लिए खुद को हटा दें। कुछ चुनिंदा पीड़ितों पर, हैकर्स ने एक मैलवेयर स्ट्रेन दिया, जो कार्यात्मक रूप से टियरड्रॉप को प्रतिबिंबित करता था, लेकिन इसके अंतर्निहित कोड में काफी अंतर था। रेनड्रॉप कहा जाता है , इस मैलवेयर के खतरे ने शोधकर्ताओं को चकित कर दिया क्योंकि वे टियरड्रॉप के विपरीत इसके प्रवेश बिंदु को निर्धारित नहीं कर सके, जिसे पिछले चरण के सनबर्स्ट मैलवेयर द्वारा सीधे गिरा दिया गया था। गोल्डमैक्स

 शोधकर्ताओं ने नए नोबेलियम-संबंधित मैलवेयर उपभेदों की खोज की

 नोबेलियम हैकर्स अपनी गतिविधियों को धीमा नहीं कर रहे हैं, जैसा कि माइक्रोसॉफ्ट और फायरआई सुरक्षा कंपनी द्वारा खुलासा किया गया है जो अभी भी समूह की निगरानी कर रहे हैं। शोधकर्ताओं ने कई नए कस्टम-बिल्ड मैलवेयर स्ट्रेन देखे हैं जिन्हें साइबर अपराधियों के शस्त्रागार में जोड़ा गया है। इसमे शामिल है: 

  • गोल्डमैक्स / सनशटल मालवेयर - एक परिष्कृत पिछले दरवाजे का खतरा। इसकी मुख्य विशेषता Google.com, Facebook.com, Yahoo.com और Bing.com जैसी वैध वेबसाइट URL की सूची से रेफ़रलकर्ताओं का चयन करके C2 सर्वर के साथ इसके संचार के कारण होने वाले ट्रैफ़िक को मिश्रित करने की क्षमता है।
  •  सिबोट मालवेयर - एक दूसरे चरण का ड्रॉपर जिसे दृढ़ता प्राप्त करने और फिर सी 2 सर्वर से अगले चरण के पेलोड को लाने और निष्पादित करने का काम सौंपा गया है। इसकी धमकी देने वाली वीबीस्क्रिप्ट फ़ाइल एक वैध विंडोज कार्य के समान नाम मानती है और फिर या तो रजिस्ट्री में या भंग सिस्टम की डिस्क पर एक अस्पष्ट प्रारूप में संग्रहीत की जाती है।
  •  गोल्डफाइंडर मालवेयर - अत्यधिक विशिष्ट मैलवेयर स्ट्रेन जो एक HTTP ट्रेसर टूल के रूप में कार्य करता है। खतरा उस सटीक मार्ग का पता लगाता है जो पैकेट C2 सर्वर तक ले जाते हैं। गोल्डफाइंडर तब नोबेलियम हैकर्स को किसी भी HTTP प्रॉक्सी सर्वर या समझौता किए गए संगठन द्वारा तैनात नेटवर्क सुरक्षा उपकरणों के कारण होने वाले अन्य पुनर्निर्देशन के बारे में सचेत कर सकता है।

 नोबलियम अधिक कस्टम-निर्मित टूल जारी कर रहा है जो उन्हें अपने खतरनाक लक्ष्यों को बेहतर ढंग से प्राप्त करने में मदद करते हैं। हैकर्स पहले ही SolarWinds के 18,000 से अधिक ग्राहकों से समझौता करने में कामयाब रहे। पीड़ितों में प्रमुख टेक कंपनियां और अमेरिकी सरकारी एजेंसियां थीं।