दुष्ट पाण्डा

हालैका महिनाहरूमा साइबर अपराधीहरूले मालवेयर र ransomware फैलाउनको लागि कोरोनाभाइरसको वास्तविक खतरा प्रयोग गर्ने धेरै कथाहरू छन्। यी धम्कीहरू विश्वभर प्रचार गरिएको छ, तर विशेष गरी चीनबाट बाहिर आएको संख्याहरू छन्। राज्य-प्रायोजित चिनियाँ ह्याकिङ समूह भाइसियस पाण्डाले कोरोनाभाइरस मार्फत आफ्नै मालवेयर फैलाउन थालेको छ।

आक्रमणको बारेमा जानकारी चेक प्वाइन्टबाट आएको हो, जसले अनुसन्धान प्रकाशित गर्‍यो कि चिनियाँ एपीटीले कोरोनाभाइरसको बारेमा वैध जानकारीलाई "हतियार" बनाएको छ भनेर जनमानसमा उनीहरूको दुर्भावनापूर्ण मालवेयर फैलाउन।

दोस्रो आक्रमण

विसियस पाण्डा आक्रमण वास्तवमा पछिल्ला केही हप्ताहरूमा चीनबाट बाहिर आएको दोस्रो ठूलो कोरोनाभाइरस (COVID-19) सम्बन्धित मालवेयर अभियान हो। पहिलो घटना मार्चको सुरुमा भएको थियो जब भियतनामी साइबर-सुरक्षा समूह VinCSS ले Mustang Panda द्वारा आक्रमण गरेको देख्यो। Mustang Panda अर्को चिनियाँ राज्य प्रायोजित ह्याकिङ समूह हो।

तिनीहरूको आक्रमण एक संलग्न RAR फाइलको साथ इमेलहरू वितरणको लागि परिचित थियो जसमा भियतनामी प्रधानमन्त्रीबाट कोरोनाभाइरसको बारेमा सन्देश समावेश भएको दाबी गरिएको थियो। कुनै पनि प्रकारको महत्त्वपूर्ण सन्देश समावेश गर्नुको सट्टा, RAR फाइलमा ब्याकडोर ट्रोजन थियो जसले पीडितको कम्प्युटरमा आफैं स्थापना गर्यो र तिनीहरूलाई ह्याकिङ समूहमा खोल्यो।

विसियस पाण्डाले मङ्गोलियन सरकारलाई आक्रमण गर्छ

भाइसियस पाण्डाको आक्रमण चेक प्वाइन्टले देखेको थियो, जसले मङ्गोलियाली सरकारी संस्थाहरूलाई लक्षित गरेको हुनाले उनीहरू समूहमा ट्याब राखिरहेका थिए। पहिलो आक्रमण जस्तै, समूहले कोरोनाभाइरसको बारेमा महत्त्वपूर्ण जानकारी भएको दाबी गर्‍यो जुन प्रयोगकर्ताहरूले पहुँच गर्न डाउनलोड गर्नुपर्छ।

चेक पोइन्टले "मंगोलियाको सार्वजनिक क्षेत्रको संस्थामा चिनियाँ एपीटी समूह" बाट साइबर आक्रमण रोक्न सक्षम थियो। आक्रमणले सामाजिक ईन्जिनियरिङ् चरणको समयमा कोरोनाभाइरसको डरलाई फाइदा पुर्‍यायो। त्यसमा दुईवटा कागजपत्र थिए । एउटा कागजात कोभिड-१९ सँग सम्बन्धित थियो र ती दुवै मङ्गोलियाली विदेश मन्त्रालयको भएको दाबी गरिएको थियो। कागजातहरू एक अद्वितीय मालवेयर खतराको साथ प्याकेज गरिएको थियो जसले पीडितको कम्प्युटरहरूमा टाढाको पहुँचको लागि अनुमति दिन्छ।

इमेल संलग्नक - स्रोत: Research.checkpoint.com

आइसबर्गको टिप

दुर्भाग्यवश, यो भर्खरको आक्रमण कुनै नयाँ कुरा होइन र केवल प्रवचनात्मक हिमशैलीको टुप्पोलाई प्रतिनिधित्व गर्दछ। ह्याकरहरूले सधैं यस प्रकारका संकटहरूलाई उनीहरूको फाइदाको लागि प्रयोग गरेका छन् त्यसैले तिनीहरूले COVID-19 को फाइदा उठाउन प्रतिरोध गर्न सक्ने कुनै तरिका थिएन।

पछिल्लो चिनियाँ APT कागजात, चेक पोइन्टका अनुसार 'नयाँ कोरोनाभाइरस संक्रमणको फैलावटको बारेमा' शीर्षक थियो। यसले चीनको राष्ट्रिय स्वास्थ्य समितिलाई थप प्रामाणिक र प्रभावकारी देखाउनको लागि उद्धृत गरेको छ। COVID-19 सँग सम्बन्धित धेरै साइबर धम्कीहरू आए पनि, यो विदेशी सरकार विरुद्ध राज्य-प्रायोजित ह्याकिङ समूहद्वारा गरिएको पहिलो घटना हो।

कोरोनाभाइरस-सम्बन्धित ह्याकिंग आक्रमणहरूको श्रृंखलामा सबैभन्दा नयाँ हुनुको साथै, चेक प्वाइन्ट भन्छ कि यो आक्रमण चिनियाँ ह्याकरहरूले अन्य सरकार र संगठनहरू विरुद्ध चलिरहेको अभियानमा भर्खरको मात्र हो। भिन्नता यो हो कि यो एक प्रयोग विधि को भाग को रूप मा कोरोनाभाइरस को लाभ उठायो।

आक्रमणलाई "उपन्यास साइबर संक्रमण श्रृंखला मार्फत [चीनको] आफ्नै एजेन्डाको लागि कोरोनाभाइरसमा सार्वजनिक चासोको शोषण" भनेर वर्णन गरिएको थियो। भाइसियस पाण्डाले मङ्गोलिया मात्र नभएर विश्वभरका देशहरुलाई लक्षित गरेको उनीहरुको भनाइ छ । तिनीहरूले हरेक सार्वजनिक क्षेत्रको संस्था र टेलिकमलाई सम्भावित साइबर खतराहरू, विशेष गरी कोरोनाभाइरसको बारेमा दाबी गर्ने कुनै पनि कुरामा सतर्क रहन आग्रह गर्छन्।

इमेल र कागजातहरू मङ्गोलियाको आफ्नै सरकार भित्रबाट आएको दाबी गर्दछ। तीमध्ये कम्तीमा एक जना परराष्ट्रमन्त्रीबाट आएको दाबी गरे। अभियानले मङ्गोलियन सार्वजनिक क्षेत्रका अन्य भागहरूलाई लक्षित गरेको थियो। अभियानको उद्देश्य सरकारी कम्प्युटरहरूबाट जानकारी र स्क्रिनसटहरू लिने, फाइलहरू सम्पादन र मेटाउने, र ती कम्प्युटरहरूको रिमोट कन्ट्रोल लिनु थियो।

Vicious Panda Ransomware कसरी काम गर्छ?
मालिसियस एट्याचमेन्टमा रिमोट एक्सेस ट्रोजन (RAT) हुन्छ जसले कम्प्युटरको नियन्त्रण लिन सक्छ। ट्रोजनलाई कमाण्ड र कन्ट्रोल सर्भरमा सीमित जडानहरू हुन प्रोग्राम गरिएको छ, जसले यसलाई पत्ता लगाउन अझ गाह्रो बनाउन सक्छ। पेलोडको संरचनाले सुझाव दिन्छ कि यसले अन्य मोड्युलहरू समावेश गर्न सक्छ जुन पछि ठूलो अभियानको भागको रूपमा स्थापनाको लागि निर्धारित गरिन्छ। चेक पोइन्टले के बताउन सक्छ, आक्रमणमा प्रयोग गरिएको मालवेयर पूर्णतया अद्वितीय र कस्टम-डिजाइन गरिएको तनाव हो, तर वास्तवमा यसले कसरी काम गर्दछ - र यसले के गर्छ - एकदम सामान्य छ।

विसियस पाण्डा इन्फेक्सन चेन - स्रोत: Research.checkpoint.com

चेक प्वाइन्टले अभियानको अन्य भागहरू तोड्यो, जस्तै जहाँ कमाण्ड र कन्ट्रोल सेन्टर होस्ट गरिएको थियो। यद्यपि दिनको अन्त्यमा, यो मालवेयर राज्य-प्रायोजित अभियान भन्दा कम छैन। यसले प्रयोगकर्ताहरूलाई एट्याचमेन्ट डाउनलोड गर्न र खोल्न प्रोत्साहित गर्न सामाजिक इन्जिनियरिङ प्रयोग गर्दछ। एट्याचमेन्टले अर्को फाइल लोड गर्छ र कम्प्युटरमा ब्याकडोर इन्स्टल गर्छ। त्यसपछि चीनले सरकारी लक्ष्यहरूमा जासुसी गर्न त्यो पछाडिको ढोका प्रयोग गर्न सक्छ।

साइबरक्रूक्सले चीन र कोरोनाभाइरसको लाभ उठाउन जारी राख्नेछ

जबकि शीर्ष-स्तरीय साइनपोस्टहरूले आक्रमणको पछाडि को हो भनेर ठ्याक्कै पत्ता लगाउन पर्याप्त जानकारी प्रदान गर्दैन, चेक पोइन्टले मालवेयर कोडमा खन्यो र फेला पार्यो कि यो चीनसँग सम्बन्धित अन्य मालवेयरमा प्रयोग गरिएको कोड जस्तै थियो। ती अभियानहरू पनि चीनका शत्रुहरूलाई लक्षित गरेका थिए।

चीन - कोरोनाभाइरसको केन्द्रबिन्दु - धेरै भ्रामक विधिहरूमा भाइरसलाई आफ्नै फाइदाको लागि प्रयोग गरिरहेको छ।। यो कुनै अचम्मको कुरा होइन कि उनीहरूले कोरोनाभाइरस प्रयोग गर्छन्, किनकि यो हाल धम्की दिने अभिनेताहरूको लागि उपलब्ध उत्तम सामाजिक इन्जिनियरिङ उपकरण हो। नियमित साइबर अपराधीहरूले पनि यसलाई आफ्नै अभियानमा प्रयोग गरिरहेका छन्।