स्टारीडोब्री हमला
लोकप्रिय सिमुलेशन और भौतिकी-आधारित गेम की खोज करने वाले खिलाड़ियों ने अनजाने में अपने विंडोज सिस्टम पर एक छिपा हुआ क्रिप्टोकरेंसी माइनर इंस्टॉल कर लिया होगा। साइबर सुरक्षा शोधकर्ताओं ने पहली बार दिसंबर 2024 के अंत में इस बड़े पैमाने पर ऑपरेशन की पहचान की, जिसका कोडनेम स्टारीडोब्री था। कथित तौर पर यह अभियान लगभग एक महीने तक चला, जिससे दुनिया भर में कई मशीनें प्रभावित हुईं।
विषयसूची
खनन के लिए उच्च प्रदर्शन वाली मशीनों का उपयोग
इस अभियान ने मुख्य रूप से रूस, ब्राजील, जर्मनी, बेलारूस और कजाकिस्तान में उल्लेखनीय संक्रमण दरों के साथ कई क्षेत्रों में व्यक्तिगत उपयोगकर्ताओं और व्यवसायों को लक्षित किया। शक्तिशाली हार्डवेयर वाले गेमिंग सेटअप पर ध्यान केंद्रित करके, हमलावरों ने अपने गुप्त खनन कार्यों की दक्षता को अधिकतम किया।
लालच के रूप में इस्तेमाल किए जाने वाले लोकप्रिय खेल
यह हमला धमकी देने वाले इंस्टॉलर को प्रसिद्ध खेलों की वैध प्रतियों के रूप में छिपाने पर निर्भर था। चारा के रूप में इस्तेमाल किए गए शीर्षकों में बीमएनजी.ड्राइव, गैरीज़ मॉड, डायसन स्फीयर प्रोग्राम, यूनिवर्स सैंडबॉक्स और प्लूटोक्रेसी शामिल थे। धमकी देने वाले अभिनेताओं ने सितंबर 2024 की शुरुआत में ही इन ट्रोजनाइज्ड इंस्टॉलर को टोरेंट साइटों पर अपलोड कर दिया था, जो दर्शाता है कि ऑपरेशन सावधानीपूर्वक पूर्व नियोजित था।
संक्रमित इंस्टॉलर एक गुप्त हमला श्रृंखला को ट्रिगर करते हैं
इन तथाकथित 'रीपैक' को डाउनलोड करने वाले अनजान उपयोगकर्ताओं को एक मानक इंस्टॉलेशन प्रक्रिया के रूप में प्रस्तुत किया गया। सेटअप के दौरान, एक छिपी हुई ड्रॉपर फ़ाइल ('unrar.dll') को पृष्ठभूमि में तैनात और निष्पादित किया गया, जिससे संक्रमण का अगला चरण शुरू हो गया।
कार्रवाई में उन्नत चोरी तकनीक
आगे बढ़ने से पहले, ड्रॉपर ने यह सुनिश्चित करने के लिए कई बार जाँच की कि यह वर्चुअलाइज्ड या सैंडबॉक्स्ड वातावरण में नहीं चल रहा है, जिससे इसकी परिष्कृत बचाव क्षमता का प्रदर्शन हुआ। इसके बाद इसने IP पते एकत्र करने और उपयोगकर्ता के स्थान निर्धारित करने के लिए api.myip.com, ip-api.com और ipwho.is जैसी बाहरी सेवाओं से संपर्क किया। यदि यह चरण विफल हो जाता है, तो सिस्टम को चीन या बेलारूस का डिफ़ॉल्ट स्थान सौंपा जाता है, जिसके कारण अभी भी स्पष्ट नहीं हैं।
एक जटिल बहु-चरणीय निष्पादन प्रक्रिया
एक बार जब मशीन पर फिंगरप्रिंट लगा दिया गया, तो ड्रॉपर ने 'MTX64.exe' नामक एक अन्य घटक को डिक्रिप्ट और निष्पादित किया। इस निष्पादन योग्य ने अपनी सामग्री को सिस्टम निर्देशिका में 'Windows.Graphics.ThumbnailHandler.dll' के रूप में सहेजा। एक वैध ओपन-सोर्स प्रोजेक्ट, EpubShellExtThumbnailHandler पर आधारित, निष्पादन योग्य ने निम्नलिखित पेलोड, 'किकस्टार्टर' को लोड करने के लिए विंडोज शेल एक्सटेंशन कार्यक्षमता का दुरुपयोग किया।
किकस्टार्टर घटक ने एक एन्क्रिप्टेड डेटा ब्लॉब निकाला और इसे उपयोगकर्ता की AppData निर्देशिका के भीतर एक छिपे हुए फ़ोल्डर में 'Unix.Directory.IconHandler.dll' नाम से डिस्क पर लिखा। इस नई फ़ाइल ने फिर एक दूरस्थ सर्वर से अंतिम चरण के पेलोड को पुनर्प्राप्त किया, जिसमें वास्तविक क्रिप्टोक्यूरेंसी माइनर शामिल था।
गुप्त खनिक परिनियोजन और प्रक्रिया निगरानी
माइनर के निष्पादन पर बारीकी से नज़र रखी जाती थी ताकि पता न चले। यह टास्क मैनेजर ('taskmgr.exe') और प्रोसेस मॉनिटर ('procmon.exe') जैसे सिस्टम मॉनिटरिंग टूल की लगातार जाँच करता था। अगर इनमें से कोई भी प्रक्रिया पकड़ी जाती थी, तो जाँच से बचने के लिए माइनर को तुरंत समाप्त कर दिया जाता था।
चयनात्मक खनन के लिए XMRig में सुधार किया गया
ऑपरेशन के मूल में XMRig माइनर का एक अनुकूलित संस्करण था। यह केवल कम से कम आठ कोर वाले CPU पर सक्रिय होता था, जिससे यह सुनिश्चित होता था कि समझौता किए गए मशीनों में कुशलतापूर्वक खनन करने के लिए पर्याप्त प्रसंस्करण शक्ति हो। इसके अतिरिक्त, सार्वजनिक खनन पूल पर निर्भर रहने के बजाय, हमलावरों ने खनन लाभ को विशेष रूप से अपने बुनियादी ढांचे पर निर्देशित करने के लिए अपना निजी सर्वर स्थापित किया।
XMRig ने सक्रिय निगरानी उपकरणों की जांच करने के लिए एक अलग थ्रेड बनाए रखते हुए कमांड-लाइन निर्देशों को पार्स करने के लिए अपनी अंतर्निहित कार्यक्षमता का लाभ उठाया। इस सतत आत्मरक्षा तंत्र ने खनन गतिविधि को उपयोगकर्ता से छिपाने में मदद की।
रूसी सुरागों वाला एक रहस्यमय ख़तरा
ऑपरेशन के पैमाने और परिष्कार के बावजूद, अपराधियों की पहचान अज्ञात बनी हुई है। हालांकि, शोधकर्ताओं ने अभियान के घटकों में रूसी भाषा के तार पाए, जिससे पता चलता है कि हमला रूसी भाषी खतरे वाले अभिनेता द्वारा किया गया हो सकता है।
स्टारीडोबरी अभियान असत्यापित स्रोतों से सॉफ़्टवेयर डाउनलोड करने से जुड़े जोखिमों को उजागर करता है। गेम इंस्टॉलर को चारा के रूप में इस्तेमाल करके, साइबर अपराधियों ने समझौता किए गए सिस्टम पर अपनी गुप्त उपस्थिति बनाए रखते हुए एक छिपे हुए माइनर को तैनात करने में कामयाबी हासिल की। यह घटना ऑनलाइन सॉफ़्टवेयर प्राप्त करते समय सावधानी के महत्व को रेखांकित करती है क्योंकि ख़तरा पैदा करने वाले अभिनेता अपनी भ्रामक रणनीति को परिष्कृत करना जारी रखते हैं।
