UNC4899 क्लाउड समझौता अभियान

2025 में हुई एक जटिल साइबर घुसपैठ का संबंध उत्तर कोरियाई आतंकवादी समूह UNC4899 से जोड़ा गया है। इस समूह पर एक क्रिप्टोकरेंसी संगठन को बड़े पैमाने पर हैक करने का संदेह है, जिसके परिणामस्वरूप लाखों डॉलर की डिजिटल संपत्ति की चोरी हुई। इस अभियान का श्रेय इस राज्य-प्रायोजित शत्रु समूह को दिया गया है, जिसे जेड स्लीट, पुकचोंग, स्लो पाइसिस और ट्रेडरट्रेटर जैसे कई अन्य नामों से भी ट्रैक किया जाता है।

यह घटना अपनी बहुस्तरीय कार्यप्रणाली के कारण उल्लेखनीय है। हमलावरों ने सोशल इंजीनियरिंग को व्यक्तिगत से कॉर्पोरेट पीयर-टू-पीयर डेटा ट्रांसफर तंत्रों के दुरुपयोग के साथ जोड़ा और बाद में संगठन के क्लाउड इंफ्रास्ट्रक्चर में प्रवेश किया। क्लाउड वातावरण में प्रवेश करने के बाद, वैध डेवऑप्स वर्कफ़्लो का दुरुपयोग करके क्रेडेंशियल्स प्राप्त किए गए, कंटेनर सीमाओं को पार किया गया और चोरी को अंजाम देने के लिए क्लाउड एसक्यूएल डेटाबेस में हेरफेर किया गया।

व्यक्तिगत डिवाइस से कॉर्पोरेट नेटवर्क तक: प्रारंभिक समझौता

यह हमला एक सुनियोजित सोशल इंजीनियरिंग अभियान से शुरू हुआ। लक्षित संगठन में काम करने वाले एक डेवलपर को धोखे से एक आर्काइव फ़ाइल डाउनलोड करने के लिए राजी किया गया, जिसे एक वैध ओपन-सोर्स सहयोग परियोजना का हिस्सा बताया गया था। फ़ाइल को अपने निजी डिवाइस पर डाउनलोड करने के बाद, डेवलपर ने उसे AirDrop का उपयोग करके एक कॉर्पोरेट वर्कस्टेशन पर स्थानांतरित कर दिया, जिससे अनजाने में व्यक्तिगत और एंटरप्राइज़ वातावरण के बीच सुरक्षा सीमा टूट गई।

आर्टिफिशियल इंटेलिजेंस (AI) की सहायता से संचालित एकीकृत विकास पर्यावरण (IDE) के माध्यम से आर्काइव के साथ संपर्क स्थापित किया गया। इस प्रक्रिया के दौरान, आर्काइव में एम्बेडेड दुर्भावनापूर्ण पायथन कोड को निष्पादित किया गया। इस कोड ने कुबेरनेट्स कमांड-लाइन टूल के रूप में एक बाइनरी फ़ाइल को तैनात किया, जिससे यह वैध प्रतीत होते हुए भी दुर्भावनापूर्ण कार्य कर रहा था।

इसके बाद बाइनरी ने हमलावरों द्वारा नियंत्रित एक डोमेन से संपर्क किया और कॉर्पोरेट सिस्टम के भीतर एक बैकडोर के रूप में काम किया। इस पहुँच ने हमलावरों को प्रभावित वर्कस्टेशन से संगठन के Google क्लाउड वातावरण में प्रवेश करने में सक्षम बनाया, संभवतः सक्रिय प्रमाणीकरण सत्रों और सुलभ क्रेडेंशियल्स का लाभ उठाते हुए।

क्लाउड इंफ्रास्ट्रक्चर में प्रवेश करने के बाद, हमलावरों ने एक टोही चरण शुरू किया जिसका उद्देश्य उन सेवाओं, परियोजनाओं और एक्सेस पॉइंट्स की पहचान करना था जिनका उपयोग आगे की कार्रवाई के लिए किया जा सकता था।

क्लाउड वातावरण का शोषण और विशेषाधिकार वृद्धि

जांच-पड़ताल के चरण के दौरान, हमलावरों ने क्लाउड वातावरण में एक प्रमुख होस्ट की पहचान की। होस्ट की मल्टी-फैक्टर ऑथेंटिकेशन पॉलिसी विशेषता को संशोधित करके, अनधिकृत पहुंच प्राप्त की गई। इस पहुंच ने उन्हें कुबेरनेट्स वातावरण के भीतर विशिष्ट पॉड्स तक पहुंचने सहित गहन जांच-पड़ताल करने में सक्षम बनाया।

इसके बाद हमलावरों ने क्लाउड-आधारित रणनीति अपनाई, जिसमें उन्होंने बाहरी मैलवेयर के बजाय मुख्य रूप से वैध क्लाउड टूल्स और कॉन्फ़िगरेशन का इस्तेमाल किया। Kubernetes परिनियोजन कॉन्फ़िगरेशन में बदलाव करके उन्होंने अपनी पहुँच को बनाए रखा, ताकि जब भी नए पॉड्स बनाए जाएँ, एक दुर्भावनापूर्ण बैश कमांड अपने आप निष्पादित हो जाए। इस कमांड ने एक बैकडोर प्राप्त किया और उसे तैनात किया, जिससे निरंतर पहुँच सुनिश्चित हो गई।

हमले के दौरान हमलावर द्वारा की गई प्रमुख कार्रवाइयों में निम्नलिखित शामिल थे:

• संगठन के CI/CD प्लेटफॉर्म से जुड़े Kubernetes संसाधनों को संशोधित करके ऐसे कमांड इंजेक्ट करना जिससे सिस्टम लॉग में सेवा खाता टोकन उजागर हो जाएं।
• एक उच्च विशेषाधिकार प्राप्त CI/CD सेवा खाते से जुड़ा टोकन प्राप्त करना, विशेषाधिकार वृद्धि और नेटवर्क नीतियों और लोड संतुलन के लिए जिम्मेदार पॉड की ओर पार्श्व गति को सक्षम बनाता है।
• चोरी किए गए टोकन का उपयोग करके विशेषाधिकार प्राप्त मोड में संचालित एक संवेदनशील इन्फ्रास्ट्रक्चर पॉड में प्रमाणीकरण करना, कंटेनर वातावरण से बाहर निकलना और एक स्थायी बैकडोर स्थापित करना।
• ग्राहक जानकारी, जिसमें उपयोगकर्ता पहचान, खाता सुरक्षा विवरण और क्रिप्टोकरेंसी वॉलेट डेटा शामिल है, के प्रबंधन के लिए जिम्मेदार कार्यभार को लक्षित करने से पहले अतिरिक्त छानबीन करना।
• पॉड एनवायरनमेंट वेरिएबल्स में गलत तरीके से संग्रहीत किए गए स्टैटिक डेटाबेस क्रेडेंशियल्स को निकालना।
• क्लाउड एसक्यूएल ऑथ प्रॉक्सी के माध्यम से उन क्रेडेंशियल्स का लाभ उठाकर प्रोडक्शन डेटाबेस तक पहुंच बनाना और एसक्यूएल कमांड्स को निष्पादित करना, जिससे उपयोगकर्ता खातों में बदलाव किए गए, जिनमें पासवर्ड रीसेट करना और कई उच्च-मूल्य वाले खातों के लिए मल्टी-फैक्टर ऑथेंटिकेशन सीड्स को अपडेट करना शामिल है।

इन जोड़-तोड़ के कारण हमलावरों को अंततः समझौता किए गए खातों पर नियंत्रण प्राप्त करने और सफलतापूर्वक लाखों डॉलर की क्रिप्टोकरेंसी निकालने में सफलता मिली।

विभिन्न वातावरणों में डेटा स्थानांतरण के सुरक्षा संबंधी निहितार्थ

इस घटना से आधुनिक क्लाउड-नेटिव वातावरणों में पाई जाने वाली कई गंभीर सुरक्षा कमजोरियाँ उजागर होती हैं। AirDrop जैसे व्यक्तिगत से कॉर्पोरेट पीयर-टू-पीयर डेटा ट्रांसफर तंत्र अनजाने में एंटरप्राइज़ सुरक्षा नियंत्रणों को दरकिनार कर सकते हैं, जिससे व्यक्तिगत उपकरणों पर मौजूद मैलवेयर कॉर्पोरेट सिस्टम तक पहुँच सकते हैं।

अतिरिक्त जोखिम कारकों में विशेषाधिकार प्राप्त कंटेनर मोड का उपयोग, कार्यभारों के बीच अपर्याप्त विभाजन और पर्यावरण चरों में संवेदनशील क्रेडेंशियल्स का असुरक्षित भंडारण शामिल थे। इनमें से प्रत्येक कमजोरी ने हमलावरों द्वारा प्रारंभिक पैठ बनाने के बाद घुसपैठ के प्रभाव क्षेत्र को बढ़ा दिया।

इसी तरह के खतरों को कम करने के लिए रक्षात्मक रणनीतियाँ

क्लाउड-आधारित इन्फ्रास्ट्रक्चर संचालित करने वाले संगठनों, विशेष रूप से वित्तीय परिसंपत्तियों या क्रिप्टोकरेंसी का प्रबंधन करने वालों को, एंडपॉइंट और क्लाउड दोनों जोखिमों से निपटने के लिए स्तरित सुरक्षात्मक नियंत्रणों को लागू करना चाहिए।

प्रभावी निवारण उपायों में निम्नलिखित शामिल हैं:

• संदर्भ-जागरूक पहुंच नियंत्रण और फ़िशिंग-प्रतिरोधी बहु-कारक प्रमाणीकरण को लागू करना।
• यह सुनिश्चित करना कि क्लाउड वातावरण में केवल विश्वसनीय और सत्यापित कंटेनर छवियों को ही तैनात किया जाए।
• संदिग्ध नोड्स को अलग करना और उन्हें बाहरी होस्ट के साथ कनेक्शन स्थापित करने से रोकना।
• अप्रत्याशित प्रक्रियाओं या असामान्य रनटाइम व्यवहार के लिए कंटेनर वातावरण की निगरानी करना।
• पर्यावरण चरों में क्रेडेंशियल के भंडारण को समाप्त करने के लिए मजबूत गुप्त प्रबंधन प्रथाओं को अपनाना।
• एंडपॉइंट नीतियों को लागू करना जो एयरड्रॉप या ब्लूटूथ जैसे पीयर-टू-पीयर फ़ाइल स्थानान्तरण को अक्षम या प्रतिबंधित करती हैं और कॉर्पोरेट उपकरणों पर अप्रबंधित बाहरी मीडिया को माउंट होने से रोकती हैं।

एक व्यापक सुरक्षा रणनीति जो पहचान को सत्यापित करती है, अनियंत्रित डेटा स्थानांतरण मार्गों को प्रतिबंधित करती है, और क्लाउड वातावरण के भीतर सख्त रनटाइम अलगाव को लागू करती है, इसी तरह के उन्नत घुसपैठ अभियानों के प्रभाव को काफी हद तक कम कर सकती है।