शातिर पांडा
हाल के महीनों में साइबर अपराधियों द्वारा मैलवेयर और रैंसमवेयर फैलाने के लिए कोरोनावायरस के वास्तविक खतरे का उपयोग करने की कई कहानियां सामने आई हैं। इन खतरों को पूरी दुनिया में प्रचारित किया गया है, लेकिन विशेष रूप से चीन से एक संख्या सामने आई है। इस हद तक कि राज्य प्रायोजित चीनी हैकिंग समूह शातिर पांडा ने कोरोनावायरस के माध्यम से अपने स्वयं के मैलवेयर फैलाना शुरू कर दिया है।
हमले के बारे में जानकारी चेक प्वाइंट से आती है, जिसने यह दिखाते हुए शोध प्रकाशित किया कि एक चीनी एपीटी ने अपने दुर्भावनापूर्ण मैलवेयर को जन-जन तक फैलाने के लिए कोरोनावायरस के बारे में "हथियारबंद" वैध जानकारी दी है।
विषयसूची
दूसरा हमला
शातिर पांडा हमला वास्तव में पिछले कुछ हफ्तों में चीन से बाहर आने वाला दूसरा प्रमुख कोरोनावायरस (COVID-19) संबंधित मैलवेयर अभियान है। पहला मार्च की शुरुआत में हुआ जब वियतनामी साइबर-सुरक्षा समूह विनसीएसएस ने मस्टैंग पांडा के हमले को देखा। मस्टैंग पांडा एक अन्य चीनी राज्य प्रायोजित हैकिंग समूह है।
उनके हमले को एक संलग्न RAR फ़ाइल के साथ ईमेल वितरित करने के लिए जाना जाता था, जिसमें दावा किया गया था कि इसमें वियतनामी प्रधान मंत्री से कोरोनावायरस के बारे में एक संदेश शामिल है। किसी भी प्रकार के महत्वपूर्ण संदेश को शामिल करने के बजाय, RAR फ़ाइल में एक पिछले दरवाजे का ट्रोजन होता है जो खुद को पीड़ित के कंप्यूटर पर स्थापित करता है और उन्हें हैकिंग समूह के लिए खोल देता है।
शातिर पांडा ने मंगोलियाई सरकार पर हमला किया
शातिर पांडा के हमले को चेक प्वाइंट ने देखा, जिन्होंने कहा कि वे समूह पर नजर रख रहे थे क्योंकि उन्हें मंगोलियाई सरकारी संगठनों को निशाना बनाया गया था। पहले हमले की तरह, समूह ने कोरोनावायरस के बारे में महत्वपूर्ण जानकारी होने का दावा किया है जिसे उपयोगकर्ताओं को एक्सेस करने के लिए डाउनलोड करना चाहिए।
चेक प्वाइंट "मंगोलिया के एक सार्वजनिक क्षेत्र की इकाई पर चीनी एपीटी समूह" से साइबर हमले को रोकने में सक्षम था। हमले ने सोशल इंजीनियरिंग चरण के दौरान कोरोनावायरस की आशंकाओं का लाभ उठाया। इसमें दो दस्तावेज थे। दस्तावेजों में से एक COVID-19 से संबंधित था और दोनों ने मंगोलियाई विदेश मंत्रालय से होने का दावा किया था। दस्तावेज़ एक अद्वितीय मैलवेयर खतरे के साथ पैक किए गए थे जो पीड़ित के कंप्यूटरों के दूरस्थ उपयोग की अनुमति देता था।
ईमेल अटैचमेंट - स्रोत: Research.checkpoint.com
बर्फ की चट्टान का कोना
दुर्भाग्य से, यह नवीनतम हमला कोई नई बात नहीं है और केवल कहावत हिमशैल की नोक का प्रतिनिधित्व करता है। हैकर्स ने हमेशा इस तरह के संकटों का इस्तेमाल अपने फायदे के लिए किया है, इसलिए ऐसा कोई तरीका नहीं था जिससे वे COVID-19 का फायदा उठाने से बच सकें।
नवीनतम चीनी APT दस्तावेज़, चेक प्वाइंट के अनुसार, 'नए कोरोनावायरस संक्रमणों के प्रसार के बारे में' शीर्षक से था। यह अधिक प्रामाणिक दिखने और अधिक प्रभावी होने के लिए चीन की राष्ट्रीय स्वास्थ्य समिति का हवाला देता है। जबकि COVID-19 से संबंधित कई साइबर खतरे हैं, यह किसी विदेशी सरकार के खिलाफ राज्य प्रायोजित हैकिंग समूह द्वारा किया गया पहला ऐसा प्रतीत होता है।
साथ ही कोरोनोवायरस से संबंधित हैकिंग हमलों की एक श्रृंखला में नवीनतम होने के नाते, चेक प्वाइंट का कहना है कि यह हमला चीनी हैकरों द्वारा अन्य सरकारों और संगठनों के खिलाफ चल रहे अभियान में नवीनतम है। अंतर यह है कि इसने तैनाती पद्धति के हिस्से के रूप में कोरोनावायरस का लाभ उठाया।
हमले को "एक उपन्यास साइबर संक्रमण श्रृंखला के माध्यम से [चीन के] अपने एजेंडे के लिए कोरोनावायरस में सार्वजनिक हित का शोषण" के रूप में वर्णित किया गया था। उनका कहना है कि शातिर पांडा सिर्फ मंगोलिया ही नहीं बल्कि दुनिया भर के देशों को निशाना बना रहे हैं। वे हर सार्वजनिक क्षेत्र की संस्था और टेल्को से संभावित साइबर खतरों से सतर्क रहने का आग्रह करते हैं, विशेष रूप से ऐसा कुछ भी जो कोरोनावायरस के बारे में होने का दावा करता है।
ईमेल और दस्तावेज़ मंगोलिया की अपनी सरकार के भीतर से आने का दावा करते हैं। उनमें से कम से कम एक ने विदेश मंत्री से आने का दावा किया। अभियान ने मंगोलियाई सार्वजनिक क्षेत्र के अन्य हिस्सों को लक्षित किया। अभियान का उद्देश्य सरकारी कंप्यूटरों से जानकारी और स्क्रीनशॉट लेना, फाइलों को संपादित करना और हटाना और उन कंप्यूटरों का रिमोट कंट्रोल लेना प्रतीत होता है।
शातिर पांडा रैंसमवेयर कैसे काम करता है?
दुर्भावनापूर्ण अटैचमेंट में रिमोट एक्सेस ट्रोजन (RAT) होता है जो कंप्यूटर को नियंत्रित कर सकता है। ट्रोजन को कमांड और कंट्रोल सर्वर से सीमित कनेक्शन रखने के लिए प्रोग्राम किया गया है, जिससे इसका पता लगाना अधिक कठिन हो सकता है। पेलोड की संरचना से पता चलता है कि इसमें अन्य मॉड्यूल शामिल हो सकते हैं जो बाद में एक बड़े अभियान के हिस्से के रूप में स्थापना के लिए निर्धारित हैं। चेक प्वाइंट क्या बता सकता है, हमले में इस्तेमाल किया गया मैलवेयर पूरी तरह से अद्वितीय और कस्टम-डिज़ाइन किया गया तनाव है, लेकिन वास्तव में यह कैसे काम करता है - और यह क्या करता है - काफी आम हैं।
शातिर पांडा संक्रमण श्रृंखला - स्रोत: Research.checkpoint.com
चेक प्वाइंट ने अभियान के अन्य हिस्सों को तोड़ दिया, जैसे कि जहां कमांड और कंट्रोल सेंटर की मेजबानी की गई थी। आखिरकार, यह मैलवेयर राज्य प्रायोजित अभियान से कम नहीं है। यह उपयोगकर्ताओं को अनुलग्नक डाउनलोड करने और खोलने के लिए प्रोत्साहित करने के लिए सोशल इंजीनियरिंग का उपयोग करता है। अनुलग्नक किसी अन्य फ़ाइल को लोड करता है और कंप्यूटर के पिछले दरवाजे को स्थापित करता है। चीन तब सरकारी ठिकानों की जासूसी करने के लिए उस पिछले दरवाजे का फायदा उठा सकता है।
साइबर बदमाश चीन और कोरोनावायरस का फायदा उठाना जारी रखेंगे
जबकि शीर्ष-स्तरीय साइनपोस्ट सटीक रूप से यह इंगित करने के लिए पर्याप्त जानकारी प्रदान नहीं करते हैं कि हमले के पीछे कौन है, चेक प्वाइंट ने मैलवेयर कोड में खोदा और पाया कि यह चीन से संबंधित अन्य मैलवेयर में उपयोग किए गए कोड के समान था। उन अभियानों का उद्देश्य चीन के दुश्मनों को भी निशाना बनाना था।
चीन - कोरोनावायरस का केंद्र - कई भ्रामक तरीकों से अपने फायदे के लिए वायरस का उपयोग कर रहा है। यह आश्चर्य की बात नहीं है कि वे कोरोनावायरस का उपयोग करेंगे, क्योंकि यह वर्तमान में धमकी देने वाले अभिनेताओं के लिए उपलब्ध सर्वोत्तम सामाजिक इंजीनियरिंग उपकरण है। यहां तक कि नियमित साइबर अपराधी भी अपने स्वयं के अभियानों में इसका लाभ उठा रहे हैं।
