UNC4899 क्लाउड सम्झौता अभियान
२०२५ मा भएको एउटा परिष्कृत साइबर घुसपैठलाई उत्तर कोरियाली खतरा अभिनेता UNC4899 सँग जोडिएको छ, जुन समूहले क्रिप्टोकरेन्सी संस्थाको ठूलो स्तरको सम्झौताको योजना बनाएको शंका गरिएको थियो जसले गर्दा लाखौं डलरको डिजिटल सम्पत्ति चोरी भएको थियो। यो अभियानलाई मध्यम आत्मविश्वासका साथ राज्य-प्रायोजित विरोधीलाई श्रेय दिइएको छ, जसलाई जेड स्लीट, पुकचोङ, स्लो पिस र ट्रेडरट्रेटर लगायत धेरै अन्य नामहरू अन्तर्गत पनि ट्र्याक गरिएको छ।
यो घटना यसको बहु-स्तरीय पद्धतिको कारणले गर्दा फरक देखिन्छ। आक्रमणकारीहरूले व्यक्तिगत-देखि-कर्पोरेट पियर-टु-पियर डेटा स्थानान्तरण संयन्त्रको शोषणसँग सामाजिक इन्जिनियरिङलाई जोडे र पछि संस्थाको क्लाउड पूर्वाधारमा प्रवेश गरे। क्लाउड वातावरण भित्र पसेपछि, वैध DevOps कार्यप्रवाहहरू प्रमाणहरू सङ्कलन गर्न, कन्टेनर सीमाहरूबाट भाग्न, र चोरीलाई सहज बनाउन क्लाउड SQL डाटाबेसहरूलाई हेरफेर गर्न दुरुपयोग गरियो।
सामग्रीको तालिका
व्यक्तिगत उपकरणबाट कर्पोरेट नेटवर्कसम्म: प्रारम्भिक सम्झौता
यो आक्रमण सावधानीपूर्वक तयार पारिएको सामाजिक इन्जिनियरिङ अभियानबाट सुरु भयो। लक्षित संस्था भित्र काम गर्ने एक विकासकर्तालाई वैध खुला-स्रोत सहयोग परियोजनाको भागको रूपमा प्रस्तुत गरिएको अभिलेख फाइल डाउनलोड गर्न धोका दिइयो। व्यक्तिगत उपकरणमा फाइल डाउनलोड गरेपछि, विकासकर्ताले यसलाई एयरड्रप प्रयोग गरेर कर्पोरेट वर्कस्टेशनमा स्थानान्तरण गर्यो, अनजानमा व्यक्तिगत र उद्यम वातावरण बीचको सुरक्षा सीमालाई पुल बनाउँदै।
अभिलेखसँगको अन्तर्क्रिया एआई-सहायता प्राप्त एकीकृत विकास वातावरण (IDE) मार्फत भएको थियो। यस प्रक्रियाको क्रममा, अभिलेखमा इम्बेड गरिएको दुर्भावनापूर्ण पाइथन कोड कार्यान्वयन गरिएको थियो। कोडले कुबर्नेट्स कमाण्ड-लाइन उपकरणको रूपमा भेषमा बाइनरी तैनाथ गर्यो, जसले गर्दा यसलाई दुर्भावनापूर्ण अपरेशनहरू गर्दा वैध देखिन अनुमति दिइयो।
त्यसपछि बाइनरीले आक्रमणकारीहरूद्वारा नियन्त्रित डोमेनलाई सम्पर्क गर्यो र कर्पोरेट प्रणाली भित्र ब्याकडोरको रूपमा काम गर्यो। यो आधारले विरोधीहरूलाई सम्झौता गरिएको कार्यस्थानबाट संस्थाको गुगल क्लाउड वातावरणमा घुमाउन सक्षम बनायो, सम्भवतः सक्रिय प्रमाणित सत्रहरू र पहुँचयोग्य प्रमाणहरू प्रयोग गर्दै।
क्लाउड पूर्वाधार भित्र पसेपछि, आक्रमणकारीहरूले सेवाहरू, परियोजनाहरू, र पहुँच बिन्दुहरू पहिचान गर्न डिजाइन गरिएको एक जासूसी चरण सुरु गरे जुन थप सम्झौताको लागि प्रयोग गर्न सकिन्छ।
क्लाउड वातावरणको शोषण र विशेषाधिकार वृद्धि
टोही चरणको क्रममा, आक्रमणकारीहरूले क्लाउड वातावरण भित्र एक बेस होस्ट पहिचान गरे। होस्टको बहु-कारक प्रमाणीकरण नीति विशेषता परिमार्जन गरेर, अनधिकृत पहुँच प्राप्त गरियो। यो पहुँचले कुबर्नेट्स वातावरण भित्र विशिष्ट पोडहरूमा नेभिगेसन सहित गहिरो टोही गतिविधिहरूलाई सक्षम बनायो।
त्यसपछि आक्रमणकारीहरूले बाह्य मालवेयरको सट्टा मुख्यतया वैध क्लाउड उपकरणहरू र कन्फिगरेसनहरूमा भर पर्दै क्लाउडबाट बाहिर निस्कने रणनीतिमा परिवर्तन गरे। कुबेर्नेट्स डिप्लोयमेन्ट कन्फिगरेसनहरू परिवर्तन गरेर दृढता स्थापित गरिएको थियो ताकि नयाँ पोडहरू सिर्जना हुँदा दुर्भावनापूर्ण ब्याश कमाण्ड स्वचालित रूपमा कार्यान्वयन हुनेछ। यो कमाण्डले निरन्तर पहुँच सुनिश्चित गर्दै ब्याकडोर पुन: प्राप्त र तैनाथ गर्यो।
सम्झौताको क्रममा धम्की दिने व्यक्तिले गरेका प्रमुख कार्यहरू समावेश थिए:
- प्रणाली लगहरूमा सेवा खाता टोकनहरू उजागर गर्ने आदेशहरू इन्जेक्ट गर्न संस्थाको CI/CD प्लेटफर्मसँग सम्बन्धित Kubernetes स्रोतहरू परिमार्जन गर्दै।
- उच्च विशेषाधिकार प्राप्त CI/CD सेवा खातासँग जोडिएको टोकन प्राप्त गर्दै, विशेषाधिकार वृद्धि र नेटवर्क नीतिहरू र लोड सन्तुलनको लागि जिम्मेवार पोड तर्फ पार्श्व आन्दोलन सक्षम पार्दै।
- चोरी गरिएको टोकन प्रयोग गरेर विशेषाधिकार प्राप्त मोडमा सञ्चालन हुने संवेदनशील पूर्वाधार पोडमा प्रमाणीकरण गर्न, कन्टेनर वातावरणबाट भाग्ने, र निरन्तर ब्याकडोर स्थापना गर्ने।
- प्रयोगकर्ता पहिचान, खाता सुरक्षा विवरणहरू, र क्रिप्टोकरेन्सी वालेट डेटा सहित ग्राहक जानकारी व्यवस्थापन गर्न जिम्मेवार कार्यभारलाई लक्षित गर्नु अघि थप जासूसी सञ्चालन गर्ने।
- पोड वातावरण चरहरू भित्र अनुचित रूपमा भण्डारण गरिएका स्थिर डाटाबेस प्रमाणहरू निकाल्दै।
- उत्पादन डाटाबेस पहुँच गर्न र प्रयोगकर्ता खाताहरू परिमार्जन गर्ने SQL आदेशहरू कार्यान्वयन गर्न क्लाउड SQL प्रमाणीकरण प्रोक्सी मार्फत ती प्रमाणहरू प्रयोग गर्दै, जसमा पासवर्ड रिसेटहरू र धेरै उच्च-मूल्य खाताहरूको लागि बहु-कारक प्रमाणीकरण बीजहरूमा अद्यावधिकहरू समावेश छन्।
यी हेरफेरहरूले अन्ततः आक्रमणकारीहरूलाई सम्झौता गरिएका खाताहरू नियन्त्रण गर्न र क्रिप्टोकरेन्सीमा धेरै मिलियन डलर सफलतापूर्वक निकाल्न अनुमति दियो।
अन्तर-वातावरण डेटा स्थानान्तरणको सुरक्षा प्रभावहरू
यो घटनाले आधुनिक क्लाउड-नेटिभ वातावरणमा सामान्यतया पाइने धेरै महत्वपूर्ण सुरक्षा कमजोरीहरूलाई हाइलाइट गर्दछ। एयरड्रप जस्ता व्यक्तिगत-देखि-कर्पोरेट पियर-देखि-पियर डेटा स्थानान्तरण संयन्त्रहरूले अनजानमा उद्यम सुरक्षा नियन्त्रणहरूलाई बाइपास गर्न सक्छन्, जसले गर्दा व्यक्तिगत उपकरणहरूमा प्रस्तुत मालवेयरलाई कर्पोरेट प्रणालीहरूमा पुग्न सक्षम बनाउँछ।
थप जोखिम कारकहरूमा विशेषाधिकार प्राप्त कन्टेनर मोडहरूको प्रयोग, कार्यभारहरू बीच अपर्याप्त विभाजन, र वातावरण चरहरूमा संवेदनशील प्रमाणहरूको असुरक्षित भण्डारण समावेश थियो। आक्रमणकारीहरूले प्रारम्भिक पाइला टेकिसकेपछि यी प्रत्येक कमजोरीहरूले घुसपैठको विस्फोट त्रिज्या बढायो।
समान खतराहरूलाई कम गर्न रक्षात्मक रणनीतिहरू
क्लाउड-आधारित पूर्वाधार सञ्चालन गर्ने संस्थाहरू, विशेष गरी वित्तीय सम्पत्ति वा क्रिप्टोकरेन्सी व्यवस्थापन गर्नेहरूले, अन्तिम बिन्दु र क्लाउड दुवै जोखिमहरूलाई सम्बोधन गर्ने तहगत रक्षात्मक नियन्त्रणहरू लागू गर्नुपर्छ।
प्रभावकारी न्यूनीकरण उपायहरूमा समावेश छन्:
- सन्दर्भ-सचेत पहुँच नियन्त्रणहरू र फिसिङ-प्रतिरोधी बहु-कारक प्रमाणीकरण कार्यान्वयन गर्दै।
- क्लाउड वातावरण भित्र केवल विश्वसनीय र प्रमाणित कन्टेनर छविहरू तैनाथ गरिएको सुनिश्चित गर्दै।
- सम्झौता गरिएका नोडहरूलाई अलग गर्ने र बाह्य होस्टहरूसँग जडान स्थापना गर्नबाट रोक्ने।
- अप्रत्याशित प्रक्रियाहरू वा असामान्य रनटाइम व्यवहारको लागि कन्टेनर वातावरणको निगरानी गर्दै।
- वातावरणीय चरहरूमा प्रमाणहरूको भण्डारण हटाउन बलियो गोप्य व्यवस्थापन अभ्यासहरू अपनाउने।
- एयरड्रप वा ब्लुटुथ जस्ता पियर-टु-पियर फाइल ट्रान्सफरहरूलाई असक्षम वा प्रतिबन्धित गर्ने एन्डपोइन्ट नीतिहरू लागू गर्ने र कर्पोरेट उपकरणहरूमा अव्यवस्थित बाह्य मिडियाको माउन्टिंगलाई रोक्ने।
पहिचानलाई प्रमाणित गर्ने, अनियन्त्रित डेटा स्थानान्तरण मार्गहरूलाई प्रतिबन्धित गर्ने, र क्लाउड वातावरण भित्र कडा रनटाइम आइसोलेसन लागू गर्ने व्यापक रक्षा-गहन रणनीतिले समान उन्नत घुसपैठ अभियानहरूको प्रभावलाई उल्लेखनीय रूपमा कम गर्न सक्छ।
