क्वाड7 बॉटनेट

साइबर सुरक्षा विशेषज्ञों ने एक चीनी ख़तरा अभिनेता की पहचान की है, जिसे स्टॉर्म-0940 के नाम से जाना जाता है, जो परिष्कृत और चकमा देने वाले पासवर्ड स्प्रे हमलों को अंजाम देने के लिए क्वाड7 नामक बॉटनेट का उपयोग करता है। इस बॉटनेट को कवरटनेटवर्क-1658 के रूप में भी जाना जाता है, जिसका उपयोग विभिन्न Microsoft ग्राहकों से क्रेडेंशियल चुराने के लिए किया जाता है। कम से कम 2021 से संचालित, स्टॉर्म-0940 पासवर्ड स्प्रे और ब्रूट-फोर्स तकनीकों का उपयोग करके या नेटवर्क एज एप्लिकेशन और सेवाओं में कमज़ोरियों और गलत कॉन्फ़िगरेशन को लक्षित करके प्रारंभिक पहुँच प्राप्त करता है।

हमलावरों ने कई कमजोर डिवाइसों को निशाना बनाया

स्टॉर्म-0940 को उत्तरी अमेरिका और यूरोप के संगठनों पर ध्यान केंद्रित करने के लिए जाना जाता है, जिसमें थिंक टैंक, सरकारी निकाय, गैर सरकारी संगठन, कानूनी फर्म और रक्षा उद्योग के क्षेत्र शामिल हैं।

शोधकर्ताओं ने क्वाड7 बॉटनेट, जिसे 7777 या xlogin भी कहा जाता है, का गहन अध्ययन किया है। इस मैलवेयर ने कई प्रसिद्ध ब्रांडों, जैसे टीपी-लिंक, ज़ायक्सेल, आसुस, एक्सेंट्रा, डी-लिंक और नेटगियर के एसओएचओ राउटर और वीपीएन डिवाइस पर विशेष ध्यान केंद्रित किया है।

रिमोट कोड निष्पादन को प्राप्त करने के लिए पहचानी गई और संभावित रूप से अज्ञात सुरक्षा कमजोरियों का लाभ उठाकर इन उपकरणों से समझौता किया जाता है। बॉटनेट का नाम, क्वाड7, इस तथ्य से निकला है कि संक्रमित राउटर में एक बैकडोर शामिल है जो टीसीपी पोर्ट 7777 पर सुनता है, जिससे रिमोट एक्सेस सक्षम होता है।

क्वाड और हमलावरों द्वारा प्रदर्शित रणनीति

सितंबर 2024 तक, बॉटनेट को मुख्य रूप से माइक्रोसॉफ्ट 365 खातों पर क्रूर-बल हमलों के लिए तैनात किया गया प्रतीत होता है, इस बात के संकेत हैं कि इन कार्यों के पीछे चीनी राज्य प्रायोजित अभिनेता होने की संभावना है।

माइक्रोसॉफ्ट के आकलन से पता चलता है कि बॉटनेट के संचालक चीन में स्थित हैं, जहां कई खतरे पैदा करने वाले लोग नेटवर्क का और अधिक दोहन करने के लिए पासवर्ड स्प्रे हमलों के लिए इसका इस्तेमाल करते हैं। इन अनुवर्ती गतिविधियों में पार्श्व आंदोलन, रिमोट एक्सेस ट्रोजन (आरएटी) परिनियोजन और डेटा एक्सफ़िलट्रेशन प्रयास शामिल हैं।

स्टॉर्म-0940 इस पद्धति का फायदा उठाने वालों में से एक है। इसने इन हमलों के माध्यम से प्राप्त वैध क्रेडेंशियल्स का उपयोग करके लक्षित संगठनों तक पहुँच प्राप्त की - अक्सर उसी दिन जब क्रेडेंशियल्स से समझौता किया गया था। लक्षित शोषण के लिए यह तेज़ बदलाव बॉटनेट ऑपरेटरों और स्टॉर्म-0940 के बीच उच्च स्तर के समन्वय की ओर इशारा करता है।

इस बीच, CovertNetwork-1658 एक अधिक संयमित दृष्टिकोण का उपयोग करता है, जिसमें लक्षित संगठन में कई खातों में वितरित लॉगिन प्रयासों की एक छोटी संख्या होती है। लगभग 80% मामलों में, गतिविधि प्रत्येक दिन प्रति खाते एक एकल साइन-इन प्रयास तक सीमित होती है।

क्वाड7 द्वारा हजारों डिवाइसों को नुकसान पहुंचाया गया

ऐसा अनुमान है कि किसी भी समय नेटवर्क में लगभग 8,000 उपकरण सक्रिय होते हैं, तथा इनमें से केवल 20 प्रतिशत उपकरण ही पासवर्ड-स्प्रेइंग हमलों में भाग लेते हैं।

विशेषज्ञों ने बॉटनेट के सार्वजनिक रूप से उजागर होने के बाद इसके बुनियादी ढांचे में उल्लेखनीय गिरावट देखी है, जिससे पता चलता है कि खतरा पैदा करने वाले लोग पहचान से बचने के लिए बदले हुए फिंगरप्रिंट के साथ नए बुनियादी ढांचे की तलाश कर रहे हैं।

कवरनेटवर्क-1658 अवसंरचना का उपयोग करने से किसी भी खतरे वाले अभिनेता को बहुत बड़े पैमाने पर पासवर्ड-स्प्रेइंग अभियान शुरू करने में सक्षम बनाता है, जिससे क्रेडेंशियल्स से सफलतापूर्वक समझौता करने और कम समय में कई संगठनों तक प्रारंभिक पहुंच प्राप्त करने की संभावना काफी बढ़ जाती है।

इस व्यापक पहुंच के साथ-साथ CovertNetwork-1658 और चीनी खतरा पैदा करने वाले तत्वों के बीच जोखिम भरे क्रेडेंशियल्स का तेजी से आदान-प्रदान, विभिन्न सेक्टरों और क्षेत्रों में खातों के जोखिम को बढ़ाता है।

बॉटनेट गतिविधि में मंदी को नोट करने वाले विशेषज्ञों ने संकेत दिया है कि ट्रैफ़िक अभी भी दिखाता है कि क्वाड7 चालू है। हालाँकि, यह पहचानना ज़रूरी है कि समझौता किए गए राउटर में यह उल्लेखनीय कमी केवल दृश्यमान उल्लंघनों को दर्शाती है। ऐसी संभावना है कि क्वाड7 ऑपरेटरों ने डिवाइस को गुप्त रूप से समझौता करने और पता लगाने से बचने के तरीके विकसित किए हैं।