साइडविंडर एपीटी

दक्षिण और दक्षिण-पूर्व एशिया, अफ्रीका और मध्य पूर्व में समुद्री और रसद कंपनियाँ साइडविंडर नामक एक उन्नत लगातार खतरे (APT) समूह का प्रमुख लक्ष्य बन गई हैं। 2024 में देखे गए हालिया साइबर हमलों ने बांग्लादेश, कंबोडिया, जिबूती, मिस्र, संयुक्त अरब अमीरात और वियतनाम में संगठनों को प्रभावित किया है।

समुद्री क्षेत्रों के अलावा, साइडविंडर ने दक्षिण एशिया और अफ्रीका में परमाणु ऊर्जा संयंत्रों और परमाणु ऊर्जा अवसंरचना पर भी अपनी नज़रें टिकाई हैं। अन्य प्रभावित उद्योगों में दूरसंचार, परामर्श, आईटी सेवाएँ, रियल एस्टेट एजेंसियाँ और यहाँ तक कि होटल जैसे आतिथ्य क्षेत्र भी शामिल हैं।

राजनयिक लक्ष्य और भारतीय संबंध

अपने हमले के दायरे में उल्लेखनीय विस्तार करते हुए, साइडविंडर ने अफगानिस्तान, अल्जीरिया, बुल्गारिया, चीन, भारत, मालदीव, रवांडा, सऊदी अरब, तुर्की और युगांडा में राजनयिक संस्थाओं के खिलाफ साइबर अभियान भी शुरू किया है। समूह द्वारा भारत को विशेष रूप से निशाना बनाना महत्वपूर्ण है, क्योंकि पहले यह अनुमान लगाया गया था कि खतरा पैदा करने वाला व्यक्ति भारतीय मूल का हो सकता है।

एक निरंतर विकसित और मायावी प्रतिद्वंदी

साइडविंडर अपने निरंतर विकास के लिए जाना जाता है, विशेषज्ञ इसे 'अत्यधिक उन्नत और खतरनाक प्रतिद्वंद्वी' के रूप में वर्णित करते हैं। समूह लगातार अपने टूलसेट को बेहतर बनाता है, सुरक्षा सॉफ्टवेयर का पता लगाने से बचता है, और अपने डिजिटल पदचिह्न को न्यूनतम करते हुए समझौता किए गए नेटवर्क के भीतर दीर्घकालिक स्थिरता सुनिश्चित करता है।

स्टीलरबॉट: एक घातक जासूसी उपकरण

अक्टूबर 2024 में, साइबर सुरक्षा शोधकर्ताओं ने साइडविंडर का गहन विश्लेषण किया, जिसमें स्टीलरबॉट के उपयोग का खुलासा हुआ - एक मॉड्यूलर पोस्ट-एक्सप्लॉइटेशन टूलकिट जिसे समझौता किए गए सिस्टम से संवेदनशील डेटा निकालने के लिए डिज़ाइन किया गया है। समुद्री उद्योग में साइडविंडर की रुचि को पहले जुलाई 2024 में प्रलेखित किया गया था, जिसमें इसके लगातार और केंद्रित दृष्टिकोण पर प्रकाश डाला गया था।

हमले का तरीका: स्पीयर-फ़िशिंग और शोषण

नवीनतम हमले एक परिचित पैटर्न का अनुसरण करते हैं। स्पीयर-फ़िशिंग ईमेल प्रारंभिक संक्रमण वेक्टर के रूप में काम करते हैं, जो असुरक्षित दस्तावेज़ ले जाते हैं जो एक प्रसिद्ध Microsoft Office भेद्यता (CVE-2017-11882) का फायदा उठाते हैं। एक बार खोले जाने पर, ये दस्तावेज़ एक बहु-चरणीय अनुक्रम को ट्रिगर करते हैं, अंततः ModuleInstaller नामक एक .NET डाउनलोडर को तैनात करते हैं, जो बदले में, StealerBot लॉन्च करता है।

शोधकर्ताओं ने पुष्टि की है कि कई लुभाने वाले दस्तावेजों में परमाणु ऊर्जा एजेंसियों, परमाणु ऊर्जा संयंत्रों, समुद्री बुनियादी ढांचे और बंदरगाह प्राधिकरणों का संदर्भ है - जो महत्वपूर्ण उद्योगों को लक्षित करने के लिए एक अत्यधिक रणनीतिक दृष्टिकोण का संकेत देता है।

सुरक्षा उपायों से आगे रहने के लिए अनुकूलन

साइडविंडर अपने मैलवेयर की सुरक्षा पहचान पर सक्रिय रूप से नज़र रखता है। एक बार जब इसके उपकरण पहचान लिए जाते हैं, तो समूह तेजी से नए, संशोधित संस्करण विकसित करता है - कभी-कभी कुछ ही घंटों के भीतर। यदि सुरक्षा समाधान उनके व्यवहार को चिह्नित करते हैं, तो वे दृढ़ता तकनीकों को बदलकर, फ़ाइल नाम और पथ बदलकर और हानिकारक घटकों को लोड करने के तरीके को समायोजित करके प्रतिक्रिया करते हैं।

अपने आक्रमण के तरीकों को लगातार परिष्कृत करने और तेजी से जवाबी उपायों को अपनाने के कारण, साइडविंडर दुनिया भर के प्रमुख उद्योगों के लिए एक सतत और विकसित साइबर खतरा बना हुआ है।