APT35

APT35 Description

apt35 ह्याकर आक्रमण समूहहरू APT35 (Advanced Persistent Threat) एक ह्याकिङ समूह हो जुन इरानबाट उत्पन्न भएको मानिन्छ। यो ह्याकिङ समूहलाई धेरै अन्य उपनामहरू अन्तर्गत पनि चिनिन्छ - न्यूजकास्टर टोली, फस्फोरस, चार्मिङ किटन र अजाक्स सुरक्षा टोली। APT35 ह्याकिङ समूह सामान्यतया राजनीतिक रूपमा उत्प्रेरित अभियानहरू, साथै आर्थिक रूपमा उत्प्रेरित दुवैमा संलग्न हुन्छ। APT35 ह्याकिङ समूहले मानवअधिकार सक्रियता, विभिन्न सञ्चारमाध्यम संस्थाहरू, र मुख्यतया शैक्षिक क्षेत्रमा संलग्न कलाकारहरू विरुद्ध आफ्ना प्रयासहरू केन्द्रित गर्छ। धेरै जसो अभियान संयुक्त राज्य अमेरिका, इजरायल, इरान र बेलायतमा गरिन्छ।

लोकप्रिय APT35 अभियानहरू

सबैभन्दा कुख्यात APT35 अपरेसनहरू मध्ये एक HBO विरुद्ध गरिएको एउटा हो जुन 2017 मा भएको थियो। यसमा, APT35 ले 1TB भन्दा बढी डाटा लीक गर्‍यो, जसमा कर्मचारीहरूको व्यक्तिगत विवरण र कार्यक्रमहरू समावेश थिए, जुन आधिकारिक रूपमा प्रसारण हुन बाँकी थियो। अर्को कुख्यात APT35 अभियान जसले तिनीहरूलाई नक्सामा राख्यो त्यो हो जसमा एक अमेरिकी वायुसेना डिफेक्टर पनि समावेश थियो। वर्गीकृत सरकारी डेटामा पहुँच प्राप्त गर्न प्रश्नमा व्यक्तिले APT35 लाई सहयोग गर्यो। 2018 मा, APT35 समूहले वैध इजरायली साइबरसुरक्षा कम्पनीको नक्कल गर्ने उद्देश्यले एउटा वेबसाइट बनाएको थियो। फरक यति मात्र थियो कि नक्कली वेबसाइटमा अलिकति परिवर्तन गरिएको डोमेन नाम थियो। यस अभियानले APT35 लाई कम्पनीका केही ग्राहकहरूको लगइन विवरणहरू प्राप्त गर्न मद्दत गर्‍यो। APT35 समावेश गर्ने पछिल्लो कुख्यात अभियान डिसेम्बर 2018 मा गरिएको थियो। यस अपरेशनमा, APT35 समूहले Charming Kitten उपनाम अन्तर्गत सञ्चालन गर्यो। यस अपरेसनले आर्थिक प्रतिबन्धहरूमा प्रभाव पार्ने विभिन्न राजनीतिक कार्यकर्ताहरूलाई लक्षित गरेको थियो, साथै इरानमा तत्कालीन सैन्य प्रतिबन्धहरू। APT35 समूहले उनीहरूको लक्ष्यको रूपमा उही क्षेत्रहरूमा संलग्न उच्च-स्तरीय पेशेवरहरूको रूपमा प्रस्तुत गर्यो। आक्रमणकारीहरूले नक्कली एट्याचमेन्टहरू, साथै नक्कली सोशल मिडिया प्रोफाइलहरू बोक्ने अनुकूल फिसिङ इमेलहरू प्रयोग गरे।

बोगस अन्तर्वार्ता इमेलहरूसँग फिसिङ

ह्याकरहरूले नक्कली इमेलहरू र सामाजिक इन्जिनियरिङलाई कार्यान्वयन विधिको रूपमा प्रयोग गरेर लक्षित फिसिङ अभियानहरू चार्मिङ किटनको मोडस अपरेन्डीको अंश हुन्। 2019 को एउटा अभियानमा, Charming Kitten समूहले पूर्व वाल स्ट्रीट जर्नल (WSJ) पत्रकारहरूको प्रतिरूपण गर्‍यो र नक्कली अन्तर्वार्ता परिदृश्यको साथ उनीहरूका अभिप्रेत पीडितहरूलाई सम्पर्क गर्यो। समूहलाई "CNN अन्तर्वार्ता" र "Deutsche Welle Webinar को निमन्त्रणा" जस्ता विभिन्न परिदृश्यहरू प्रयोग गरेर पनि देखाइएको छ, सामान्यतया इरानी र अन्तर्राष्ट्रिय मामिलाहरूका विषयहरूमा।

एउटा विशेष अवस्थामा, आक्रमणकारीहरूले अरबी भाषामा फर्नाज फासिहीको पहिचान प्रयोग गरी एउटा नक्कली इमेल सिर्जना गरे, हाल न्यूयोर्क टाइम्सका पत्रकार, जसले पहिले 17 वर्षसम्म द वाल स्ट्रीट जर्नलमा काम गरेका थिए। चाखलाग्दो कुरा के छ भने, ह्याकरहरूले फर्नाज फसिहीलाई उनको पूर्व नियोक्ता, द वाल स्ट्रीट जर्नलका लागि काम गरेको रूपमा प्रस्तुत गरे।


नक्कली अन्तर्वार्ता अनुरोध ईमेल - स्रोत: blog.certfa.com

इमेल अनुवाद:

नमस्कार ************
मेरो नाम Farnaz Fasihi हो। म वाल स्ट्रीट जर्नल पत्रिकामा पत्रकार हुँ।
WSJ को मध्य पूर्व टोली विकसित देशहरूमा सफल गैर-स्थानीय व्यक्तिहरूलाई परिचय गराउन चाहन्छ। अनुसन्धान र विज्ञानको दर्शनको क्षेत्रमा तपाईका गतिविधिहरूले मलाई तपाईलाई एक सफल इरानीको रूपमा परिचय गराउन प्रेरित गर्यो। मध्य पूर्व टोलीका निर्देशकले हामीलाई तपाइँसँग अन्तर्वार्ता सेट गर्न र तपाइँका केही महत्त्वपूर्ण उपलब्धिहरू हाम्रा दर्शकहरूसँग साझा गर्न आग्रह गर्नुभयो। यो अन्तर्वार्ताले हाम्रो प्यारो देशका युवाहरूलाई आफ्नो प्रतिभा पत्ता लगाउन र सफलतातर्फ अघि बढ्न प्रेरित गर्न सक्छ।
भन्न आवश्यक छैन, यो अन्तर्वार्ता मेरो लागि व्यक्तिगत रूपमा ठूलो सम्मान हो, र म तपाईंलाई अन्तर्वार्ताको लागि मेरो निमन्त्रणा स्वीकार गर्न आग्रह गर्दछु।
प्रश्नहरू मेरा सहकर्मीहरूको समूहद्वारा व्यावसायिक रूपमा डिजाइन गरिएका हुन् र परिणाम स्वरूप अन्तर्वार्ता WSJ को साप्ताहिक अन्तर्वार्ता खण्डमा प्रकाशित गरिनेछ। तपाईंले स्वीकार गरेपछि म तपाईंलाई अन्तर्वार्ताका प्रश्नहरू र आवश्यकताहरू पठाउनेछु।
*फुटनोट: गैर-स्थानीय भन्नाले अन्य देशहरूमा जन्मिएका मानिसहरूलाई जनाउँछ।
तपाईंको दया र ध्यान को लागी धन्यवाद।
फर्नाज फसिही

इमेलहरूमा समावेश गरिएका सबै लिङ्कहरू छोटो URL ढाँचामा थिए, जुन ह्याकरहरूले तिनीहरूका यन्त्रहरू, जस्तै अपरेटिङ सिस्टम, ब्राउजर, र IP ठेगाना जस्ता आवश्यक जानकारी सङ्कलन गर्दा पीडितलाई वैध ठेगानाहरूमा मार्गदर्शन गर्न प्रयोग गरेका थिए। आफ्नो लक्ष्यमा मुख्य आक्रमणको तयारीको लागि ह्याकरहरूबाट यो जानकारी आवश्यक थियो।


गुगल साइटहरूमा होस्ट गरिएको नक्कली WSJ पृष्ठको नमूना - स्रोत: blog.certfa.com

इच्छित लक्ष्यसँग सापेक्ष विश्वास स्थापित गरेपछि, ह्याकरहरूले उनीहरूलाई एउटा अद्वितीय लिङ्क पठाउनेछन्, जसमा कथित रूपमा अन्तर्वार्ता प्रश्नहरू समावेश छन्। फारसी (CERTFA) मा कम्प्युटर इमर्जेन्सी रेस्पोन्स टोलीद्वारा परीक्षण गरिएका नमूनाहरूका अनुसार, आक्रमणकारीहरूले गुगल साइटहरूमा पृष्ठहरू होस्ट गर्दै, विगत एक वर्षमा फिशरहरूसँग धेरै लोकप्रियता प्राप्त गर्ने अपेक्षाकृत नयाँ विधि प्रयोग गरिरहेका छन्।

एक पटक पीडितले गुगल साइट पृष्ठमा ''डाउनलोड'' बटन क्लिक गरेपछि, उनीहरूलाई अर्को नक्कली पृष्ठमा रिडिरेक्ट गरिनेछ जसले मोडलिष्का जस्ता फिसिङ किटहरू प्रयोग गरेर उनीहरूको इमेल ठेगाना र उनीहरूको दुई-कारक प्रमाणीकरण कोडको लागि लगइन प्रमाणहरू काट्ने प्रयास गर्नेछ।

APT35 को डाउनपेपर मालवेयर

डाउनपेपर उपकरण ब्याकडोर ट्रोजन हो, जुन प्रायः पहिलो चरणको पेलोडको रूपमा प्रयोग गरिन्छ र यसमा क्षमताहरू छन्:

  • आक्रमणकारीको C&C (कमान्ड र कन्ट्रोल) सर्भरसँग जडान स्थापना गर्नुहोस् र आदेशहरू र हानिकारक पेलोडहरू प्राप्त गर्नुहोस्, जुन घुसपैठित होस्टमा कार्यान्वयन गरिने छ।
  • विन्डोज रजिस्ट्रीसँग छेडछाड गरेर दृढता प्राप्त गर्नुहोस्।
  • हार्डवेयर र सफ्टवेयर डेटा जस्ता सम्झौता प्रणालीको बारेमा जानकारी सङ्कलन गर्नुहोस्।
  • CMD र PowerShell आदेशहरू कार्यान्वयन गर्नुहोस्।

APT35 ह्याकिङ समूह व्यक्तिहरूको एक धेरै निरन्तर समूह हो, र यो सम्भव छैन कि तिनीहरूले कुनै पनि समय चाँडै आफ्ना गतिविधिहरू रोक्ने योजना बनाउँछन्। इरान वरपरको राजनीतिक वातावरण केही समयको लागि तातेको छ भन्ने कुरालाई ध्यानमा राख्दै, हामी भविष्यमा APT35 समूहको अभियानहरूको बारेमा सुन्ने सम्भावना छ।

अपडेट मे १०, २०२० - APT35 COVID-19 ह्याकिङ अभियानमा संलग्न

साइबरसुरक्षा विशेषज्ञहरूद्वारा समीक्षा गरिएको सार्वजनिक रूपमा उपलब्ध वेब अभिलेखहरूको सेटले पत्ता लगायो कि चार्मिङ किटन भनेर चिनिने इरानी ह्याकिङ समूह, अन्य नामहरू मध्ये, कोविड-19 अनुसन्धानमा संलग्न गिलियड साइन्सेस इंक क्यालिफोर्नियामा आधारित औषधि कम्पनी विरुद्ध अप्रिलमा साइबर आक्रमणको पछाडि थियो।

सुरक्षा अनुसन्धानकर्ताहरू भेटिएको एउटा उदाहरणमा, ह्याकरहरूले कर्पोरेट र कानुनी मामिलाहरूमा संलग्न शीर्ष गिलियड कार्यकारीबाट पासवर्डहरू चोर्नको लागि विशेष रूपमा डिजाइन गरिएको नक्कली इमेल लगइन पृष्ठ प्रयोग गरे। आक्रमण एक वेबसाइटमा फेला पर्यो जुन दुर्भावनापूर्ण गतिविधिको लागि वेब ठेगानाहरू स्क्यान गर्न प्रयोग गरिन्छ, तर अनुसन्धानकर्ताहरूले यो सफल भयो कि भनेर निर्धारण गर्न सकेनन्।

प्रचलित उपयोगी हेकर समूहहरू
ट्रेन्डिङ APT ह्याकर समूह चार्ट - स्रोत: Securitystack.co

आक्रमणको अनुसन्धान गर्ने विश्लेषकहरू मध्ये एक इजरायली साइबर सुरक्षा फर्म क्लियरस्काईका ओहाद जाइडेनबर्ग थिए। उनले टिप्पणी गरे कि गिलियड विरुद्ध अप्रिल आक्रमण कर्पोरेट ईमेल खाताहरू एक पत्रकार सोधपुछको नक्कल गर्ने सन्देशको साथ सम्झौता गर्ने प्रयास थियो। अन्य विश्लेषकहरू, जो सार्वजनिक रूपमा टिप्पणी गर्न अधिकृत थिएनन्, त्यसपछि पुष्टि गरेका छन् कि आक्रमणले डोमेनहरू र सर्भरहरू प्रयोग गरेको थियो जुन इरानी ह्याकिङ समूहले चार्मिङ किटन भनेर चिनिन्थ्यो।

संयुक्त राष्ट्रका लागि इरानको कूटनीतिक नियोगले त्यस्ता आक्रमणहरूमा कुनै संलग्नता अस्वीकार गरेको छ, प्रवक्ता अलिरेजा मिरयुसेफीले भनेका छन् कि "इरानी सरकारले साइबर युद्धमा संलग्न छैन," थपे, "इरानले संलग्न गरेको साइबर गतिविधिहरू विशुद्ध रूपमा रक्षात्मक छन् र थप आक्रमणहरूबाट बचाउनका लागि। इरानी पूर्वाधार।"

इरानी आक्रमणकारीहरू धार्मिक देशहरू
हालैका इरानी साइबर अभियानहरूमा लक्षित देशहरू - स्रोत: Stratfor.com

गिलियडले साइबर सुरक्षा मामिलाहरूमा छलफल गर्न कम्पनीको नीति अनुसरण गरेको छ र टिप्पणी गर्न अस्वीकार गर्‍यो। कम्पनीले भर्खरै धेरै ध्यान प्राप्त गरेको छ, किनकि यो एन्टिभाइरल औषधि रेमडेसिभिरको निर्माता हो, जुन हाल COVID-19 बाट संक्रमित बिरामीहरूलाई मद्दत गर्ने एक मात्र उपचार हो। गिलियड घातक रोगको उपचारको अनुसन्धान र विकासको नेतृत्व गर्ने कम्पनीहरू मध्ये एक हो, यसलाई बुद्धिमत्ता सङ्कलन प्रयासहरूको लागि मुख्य लक्ष्य बनाउँदै।