PathWiper Malware
यूक्रेन में महत्वपूर्ण बुनियादी ढांचे को निशाना बनाकर किए गए साइबर हमलों में विनाशकारी मैलवेयर के एक नए प्रकार की पहचान की गई है, जिसका नाम पाथवाइपर है। इसका प्राथमिक उद्देश्य स्पष्ट है: देश के भीतर परिचालन क्षमताओं को बाधित और पंगु बनाना।
विषयसूची
वैध साधनों के माध्यम से गुप्त तैनाती
हमलावरों ने वैध एंडपॉइंट एडमिनिस्ट्रेशन टूल का उपयोग करके पाथवाइपर पेलोड को तैनात किया। डिलीवरी का यह तरीका बताता है कि खतरे वाले अभिनेताओं ने पहले से ही एक पूर्व समझौता के माध्यम से लक्षित सिस्टम तक प्रशासनिक पहुंच हासिल कर ली थी, जो हमले के पीछे की परिष्कार और योजना को उजागर करता है।
एट्रिब्यूशन: एक परिचित विरोधी की वापसी
घटना की जांच कर रहे साइबर सुरक्षा शोधकर्ताओं ने पूरे विश्वास के साथ इस हमले को रूस से जुड़े एडवांस्ड परसिस्टेंट थ्रेट (APT) के लिए जिम्मेदार ठहराया है। देखी गई रणनीति, तकनीक और प्रक्रियाएं (TTP) सैंडवॉर्म से काफी मिलती-जुलती हैं, जो एक ज्ञात खतरा समूह है जो पहले यूक्रेन में हर्मेटिकवाइपर को तैनात करने के लिए जिम्मेदार था।
पाथवाइपर: हर्मेटिकवाइपर का संभावित उत्तराधिकारी
पाथवाइपर में हर्मेटिकवाइपर के साथ महत्वपूर्ण समानताएं हैं, जो यह सुझाव देती हैं कि यह उस पुराने मैलवेयर का विकास हो सकता है। दोनों का उद्देश्य महत्वपूर्ण सिस्टम डेटा को दूषित करके अधिकतम नुकसान पहुंचाना है, और व्यवहार में ओवरलैप का अर्थ है कि समान या निकट से संबंधित खतरे वाले क्लस्टर शामिल हैं।
बहु-चरणीय आक्रमण श्रृंखला
मैलवेयर एक बहु-चरणीय प्रक्रिया के माध्यम से क्रियान्वित होता है:
- एक विंडोज़ बैच फ़ाइल एक दुर्भावनापूर्ण VBScript (uacinstall.vbs) को ट्रिगर करती है।
- स्क्रिप्ट कोर पेलोड (sha256sum.exe) को छोड़ देती है और उसे निष्पादित करती है, जो पता लगाने से बचने के लिए एक वैध प्रशासनिक उपकरण जैसा दिखता है।
उन्नत ड्राइव गणना और वॉल्यूम तोड़फोड़
हर्मेटिकवाइपर के विपरीत, जो भौतिक ड्राइव की गणना पर केंद्रित था, पाथवाइपर स्थानीय, नेटवर्क और डिसमाउंटेड वॉल्यूम सहित सभी कनेक्टेड ड्राइव की प्रोग्रामेटिक रूप से पहचान करके एक कदम आगे जाता है। इसके बाद यह तोड़फोड़ की तैयारी में इन वॉल्यूम को डिसमाउंट करने के लिए विंडोज एपीआई का लाभ उठाता है।
मैलवेयर प्रत्येक वॉल्यूम के लिए थ्रेड्स उत्पन्न करता है, जो आवश्यक NTFS संरचनाओं को अधिलेखित कर देता है, जिससे सिस्टम प्रभावी रूप से निष्क्रिय हो जाता है।
कोर सिस्टम फ़ाइलों का लक्षित विनाश
पाथवाइपर द्वारा दूषित किये जाने वाले सिस्टम घटकों में शामिल हैं:
- एमबीआर (मास्टर बूट रिकॉर्ड): इसमें बूटलोडर और विभाजन तालिका शामिल होती है।
- $MFT (मास्टर फ़ाइल तालिका): सभी फ़ाइलों और निर्देशिकाओं की अनुक्रमणिका बनाए रखता है।
- $LogFile: अखंडता और पुनर्प्राप्ति के लिए परिवर्तनों को ट्रैक करता है।
- $Boot: बूट सेक्टर और फाइल सिस्टम जानकारी संग्रहीत करता है।
इसके अतिरिक्त, पांच अन्य महत्वपूर्ण NTFS मेटाडेटा फाइलों को यादृच्छिक बाइट्स के साथ अधिलेखित कर दिया जाता है, जिससे यह सुनिश्चित हो जाता है कि प्रभावित सिस्टम को पुनर्प्राप्त नहीं किया जा सकता।
कोई फिरौती नहीं, कोई मांग नहीं - केवल विनाश
उल्लेखनीय रूप से, पाथवाइपर से जुड़े हमलों में किसी भी तरह की जबरन वसूली या फिरौती की मांग शामिल नहीं है। यह अनुपस्थिति प्राथमिक उद्देश्य की पुष्टि करती है: वित्तीय लाभ के बजाय परिचालन को पूरी तरह से बाधित करना।
वाइपर: हाइब्रिड युद्ध में एक आवर्ती उपकरण
यूक्रेन में युद्ध की शुरुआत के बाद से, डेटा वाइपर रूसी साइबर ऑपरेशन की पहचान बन गए हैं। इन उपकरणों को विनाशकारी प्रभाव वाले कई अभियानों में तैनात किया गया है। पता लगाए गए हमले अभियानों में इस्तेमाल किए गए अन्य उल्लेखनीय वाइपर में शामिल हैं: कैडीवाइपर , हर्मेटिकवाइपर , आइजैकवाइपर , एसिडरेन , और बहुत कुछ।
इनमें से प्रत्येक ने साइबर युद्ध के माध्यम से यूक्रेनी बुनियादी ढांचे को अस्थिर करने की व्यापक रणनीति में भूमिका निभाई है।
निष्कर्ष: पाथवाइपर एक खतरनाक विकास को दर्शाता है
पाथवाइपर यूक्रेन के खिलाफ इस्तेमाल किए जाने वाले विनाशकारी साइबर उपकरणों में चल रही वृद्धि का उदाहरण है। उन्नत बचाव तकनीकों, गहन सिस्टम-स्तरीय तोड़फोड़ और ज्ञात रूसी एपीटी की ओर इशारा करते हुए, यह आधुनिक साइबर संघर्ष के परिदृश्य में एक महत्वपूर्ण खतरा प्रस्तुत करता है।
