APT31/Zirconium

APT31 बौद्धिक सम्पत्ति चोरी र malvertising मा फोकस संग एक उन्नत लगातार खतरा समूह हो। यस समूहलाई विभिन्न सुरक्षा संस्थाहरूले जिरकोनियम, जजमेन्ट पाण्डा र ब्रोन्ज भिनवुड पनि भनिन्छ। धेरैजसो अन्य एपीटी समूहहरू जस्तै, त्यहाँ एपीटी ३१ राज्य-प्रायोजित हुनसक्ने आशंकाहरू छन् र यस अवस्थामा संदिग्ध राज्य चीन हो। २०२० को गर्मीमा गुगल थ्रेट एनालिसिस समूहले सुझाव दियो कि APT31 ले जो बिडेनको राष्ट्रपति अभियानलाई फिसिङ इमेलहरूको साथ लक्षित गरिरहेको थियो।

भर्खरै TAG ले चीनको एपीटी समूहले बिडेन अभियानका कर्मचारीहरूलाई लक्षित गरेको र इरानको एपीटीले ट्रम्पको अभियानका कर्मचारीहरूलाई फिसिङले लक्षित गरेको देख्यो। सम्झौताको कुनै संकेत छैन। हामीले प्रयोगकर्ताहरूलाई हाम्रो सरकारी आक्रमण चेतावनी पठायौं र हामीले फेड कानून प्रवर्तनलाई सन्दर्भ गर्यौं। https://t.co/ozlRL4SwhG

— शेन हन्टले (@ShaneHuntley) जुन ४, २०२०

APT31 को जबरजस्ती रिडिरेक्ट प्रक्रिया

2017 मा फिर्ता, APT31 ले सबैभन्दा ठूलो मालभरटाइजिङ सञ्चालन गरिरहेको थियो। समूहले कम्तीमा २८ वटा नक्कली विज्ञापन कम्पनी बनाएको थियो । Confiant को अनुसार, Zirconium ले लगभग 1 बिलियन विज्ञापन दृश्यहरू खरिद गरेको थियो र सबै विज्ञापन-मुद्रीकृत वेबसाइटहरूको 62% मा प्राप्त गर्न व्यवस्थित गरेको थियो। प्रयोग गरिएको मुख्य आक्रमण भेक्टर APT31 जबरजस्ती पुन: निर्देशित थियो। जब कुनै वेबसाइट ब्राउज गर्ने व्यक्तिलाई प्रयोगकर्ताले कुनै कारबाही नगरी अर्को वेबसाइटमा रिडिरेक्ट गर्दा जबरजस्ती रिडिरेक्ट हुन्छ। प्रयोगकर्ताले समाप्त गरेको वेबसाइटलाई सामान्यतया घोटालाको एक भागको रूपमा प्रयोग गरिन्छ वा मालवेयर संक्रमणमा लैजान्छ।

MyAdsBro होमपेज स्क्रिनसट - स्रोत: Confiant.com ब्लग

APT31 ले विज्ञापन प्लेटफर्महरूसँग सम्बन्ध स्थापित गर्न Beginads, एक नक्कली विज्ञापन एजेन्सी सिर्जना र प्रयोग गर्‍यो। तलको रेखामा, यो डोमेन बन्यो Zirconium ले तिनीहरूका सबै नक्कली एजेन्सीहरूको सबै अभियानहरूको लागि ट्राफिक निर्देशित गर्न प्रयोग गर्नेछ। APT31 ले कडा परिश्रम गर्‍यो कि तिनीहरूले धेरै वास्तविक विज्ञापन प्लेटफर्महरूसँग वैध रूपमा सम्बन्ध देखेका थिए। यो दृष्टिकोणले योजनालाई केही लचिलोपन पनि दियो र यसले शंका उत्पन्न गर्ने सम्भावना कम बनायो। APT31 ले सम्बद्ध मार्केटिङ प्लेटफर्महरूमा ट्राफिक पुन: बेचेको छ। यो व्यवस्थाको मतलब APT31 ले ल्यान्डिङ पृष्ठहरू आफैं सञ्चालन गर्नुपर्दैन। साइबर अपराधीहरू अगाडि गए , एक सम्बद्ध नेटवर्क सिर्जना गरे जुन तिनीहरू आफैले सञ्चालन गरे। नेटवर्क MyAdsBro भनिन्थ्यो। APT31 ले MyAdsBro मार्फत आफ्नै अभियानहरू चलाउन प्रयोग गर्थे तर अरूले पनि आयोगको लागि MyAdsBro मा ट्राफिक धकेल्न सक्छन्।

ग्राहक वेब प्यानल स्क्रिनसट - स्रोत: Confiant.com ब्लग

एक पटक पुन: निर्देशित गरेपछि, प्रयोगकर्ताहरूलाई केहि सबैभन्दा लोकप्रिय रणनीतिहरू मार्फत संक्रमण सक्षम गर्न लोभ्याइएको थियो:

• नक्कली Adobe Flash Player अपडेट पप-अपहरू
• नक्कली एन्टिभाइरस पप-अपहरू
• प्राविधिक समर्थन घोटालाहरू
• विभिन्न डराउने सन्देशहरू

APT31 ले तिनीहरूको योजना स्थापना गर्दा र यसलाई वैधानिक बनाउँदा ठूलो मात्रामा गयो। सबै नक्कली एजेन्सीहरूसँग विभिन्न मार्केटिङ सामग्रीहरू, सामाजिक सञ्जालमा प्रोफाइलहरू सहित नक्कली अफिसरहरू, र उक्त मिडियामा अनौठो सामग्रीसहित पोस्टहरू पनि थिए। 2017 को वसन्त मा सुरु भएको Zirconium को धेरै मास-उत्पादित कम्पनीहरु। 28 मध्ये सबै प्रयोग गरिएन किनभने तिनीहरू मध्ये 8 ले कहिल्यै आफ्नो सोशल मिडिया उपस्थिति सुरु गरेनन् र कुनै पनि विज्ञापन गतिविधिहरूमा संलग्न भएनन्। साइबर अपराधीको प्रयास स्पष्ट रूपमा सफल भयो। APT31 को नक्कली एजेन्सीहरूले 16 वास्तविक विज्ञापन प्लेटफर्महरूसँग प्रत्यक्ष व्यापार सम्बन्धहरू सिर्जना गर्न व्यवस्थित गरे।

ट्राफिकको एक सानो भाग मात्र उनीहरूले वास्तविक पेलोडमा पुन: निर्देशित गरे। पत्ता लगाउन र विश्लेषणबाट बच्नको लागि, जिरकोनियमले चोरी विधिहरू प्रयोग गर्‍यो। APT31 ले फिंगरप्रिन्टिङ भनिने प्रविधि प्रयोग गर्‍यो। यो एक प्रक्रिया हो जहाँ साइबर अपराधीहरूले दर्शकहरूको एक विशेष भागलाई अझ सटीक रूपमा लक्षित गर्न सम्भावित पीडितहरूको प्रणालीहरूको बारेमा जानकारी सङ्कलन गर्छन्। फिंगरप्रिन्टिङ प्रयोग गर्दा साइबर अपराधीहरूको लक्ष्य पत्ता लगाउनबाट बच्नु हो। त्यस उद्देश्यका लागि, तिनीहरूले ब्राउजरमा JavaScript प्रयोग गर्ने प्रयास गर्न र स्क्रिप्ट सुरक्षा स्क्यानर विरुद्ध चलिरहेको छ कि छैन भनेर पत्ता लगाउनेछन्। यदि स्क्यानरको संकेतहरू पत्ता लगाइयो भने, पेलोड डेलिभर हुने छैन। फिंगरप्रिन्टिङमा जोखिम छ। स्क्रिप्ट खोज्ने जो कोहीले देख्न सक्छ र यसले शंका बढाउन सक्छ, तर फिंगरप्रिन्टिङले पेलोडको उच्च संख्याको डिप्लोइमेन्टको लागि अनुमति दिन्छ।

APT31 ले यसको डरपोक रणनीतिहरू प्रयोग गर्दछ

त्यहाँ पत्ता लगाउनबाट बच्ने अन्य तरिकाहरू छन् जसमा प्रयोगकर्ताको पक्षमा स्क्रिप्ट चलाउनु समावेश छैन। सर्भर साइड मेकानिजमहरू लागू गर्न सुरक्षित हुन सक्छ किनभने तिनीहरूले ट्रिगर नगरेसम्म सुरक्षा अनुसन्धानकर्ताले तिनीहरूलाई विश्लेषण गर्न सक्षम हुने छैनन्। यस्तो एउटा दृष्टिकोण प्रयोगकर्ताको आईपी डाटासेन्टर आईपी हो कि छैन भनेर जाँच गर्न हो। स्क्यानरहरूले प्राय: डाटासेन्टर आईपीहरू प्रयोग गर्छन् र त्यस्ता आईपी पत्ता लगाउनु पेलोड डिप्लोइ नगर्ने स्पष्ट संकेत हुनेछ।

APT31 को malvertising सञ्चालनको प्रभावशाली मापनको बावजुद, सुरक्षा अनुसन्धानकर्ताहरूले अझै पनि आफ्नो मुख्य फोकस बौद्धिक सम्पत्ति चोरी भएको पहिचान गर्छन्। Zirconium को सबै अपरेशनहरूको वास्तविक दायरा अझै अज्ञात छ किनकि तिनीहरूको हानि गर्ने सम्भावना छ।