APT31/Zirconium

APT31 ਇੱਕ ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥ੍ਰੀਟ ਗਰੁੱਪ ਹੈ ਜਿਸਦਾ ਧਿਆਨ ਬੌਧਿਕ ਸੰਪਤੀ ਦੀ ਚੋਰੀ ਅਤੇ ਖਰਾਬੀ 'ਤੇ ਹੈ। ਇਸ ਸਮੂਹ ਨੂੰ ਵੱਖ-ਵੱਖ ਸੁਰੱਖਿਆ ਸੰਸਥਾਵਾਂ ਦੁਆਰਾ ਜ਼ਿਰਕੋਨਿਅਮ, ਜੱਜਮੈਂਟ ਪਾਂਡਾ ਅਤੇ ਕਾਂਸੀ ਵਾਈਨਵੁੱਡ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਜ਼ਿਆਦਾਤਰ ਹੋਰ APT ਸਮੂਹਾਂ ਦੀ ਤਰ੍ਹਾਂ, ਇੱਥੇ ਵੀ ਸ਼ੱਕ ਹੈ ਕਿ APT31 ਰਾਜ-ਪ੍ਰਯੋਜਿਤ ਹੋ ਸਕਦਾ ਹੈ ਅਤੇ ਇਸ ਮਾਮਲੇ ਵਿੱਚ ਸ਼ੱਕੀ ਰਾਜ ਚੀਨ ਹੈ। 2020 ਦੀਆਂ ਗਰਮੀਆਂ ਵਿੱਚ ਗੂਗਲ ਥਰੇਟ ਵਿਸ਼ਲੇਸ਼ਣ ਸਮੂਹ ਨੇ ਸੁਝਾਅ ਦਿੱਤਾ ਕਿ APT31 ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਨਾਲ ਜੋ ਬਿਡੇਨ ਦੀ ਰਾਸ਼ਟਰਪਤੀ ਮੁਹਿੰਮ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਰਿਹਾ ਸੀ।

ਹਾਲ ਹੀ ਵਿੱਚ TAG ਨੇ ਚੀਨ APT ਸਮੂਹ ਨੂੰ ਬਿਡੇਨ ਮੁਹਿੰਮ ਦੇ ਸਟਾਫ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਅਤੇ ਇਰਾਨ APT ਨੂੰ ਫਿਸ਼ਿੰਗ ਨਾਲ ਟਰੰਪ ਮੁਹਿੰਮ ਦੇ ਸਟਾਫ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ। ਸਮਝੌਤਾ ਦਾ ਕੋਈ ਸੰਕੇਤ ਨਹੀਂ। ਅਸੀਂ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਸਾਡੀ ਸਰਕਾਰੀ ਹਮਲੇ ਦੀ ਚੇਤਾਵਨੀ ਭੇਜੀ ਅਤੇ ਅਸੀਂ ਫੈੱਡ ਕਾਨੂੰਨ ਲਾਗੂ ਕਰਨ ਦਾ ਹਵਾਲਾ ਦਿੱਤਾ। https://t.co/ozlRL4SwhG

— ਸ਼ੇਨ ਹੰਟਲੇ (@ShaneHuntley) 4 ਜੂਨ, 2020

APT31 ਦੀ ਜ਼ਬਰਦਸਤੀ ਰੀਡਾਇਰੈਕਟ ਪ੍ਰਕਿਰਿਆ

2017 ਵਿੱਚ ਵਾਪਸ, APT31 ਸਭ ਤੋਂ ਵੱਡਾ ਮਾਲਵਰਟਾਈਜ਼ਿੰਗ ਆਪਰੇਸ਼ਨ ਚਲਾ ਰਿਹਾ ਸੀ। ਗਰੁੱਪ ਨੇ ਘੱਟ ਤੋਂ ਘੱਟ 28 ਫਰਜ਼ੀ ਇਸ਼ਤਿਹਾਰ ਕੰਪਨੀਆਂ ਬਣਾਈਆਂ ਸਨ। Confiant ਦੇ ਅਨੁਸਾਰ, Zirconium ਨੇ ਲਗਭਗ 1 ਬਿਲੀਅਨ ਵਿਗਿਆਪਨ ਵਿਯੂਜ਼ ਖਰੀਦੇ ਸਨ ਅਤੇ ਸਾਰੀਆਂ ਵਿਗਿਆਪਨ-ਮੁਦਰੀਕਰਨ ਵਾਲੀਆਂ ਵੈਬਸਾਈਟਾਂ ਦੇ 62% ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਵਿੱਚ ਕਾਮਯਾਬ ਹੋ ਗਏ ਸਨ। ਵਰਤਿਆ ਜਾਣ ਵਾਲਾ ਮੁੱਖ ਹਮਲਾ ਵੈਕਟਰ APT31 ਜਬਰੀ ਰੀਡਾਇਰੈਕਟ ਸੀ। ਇੱਕ ਜ਼ਬਰਦਸਤੀ ਰੀਡਾਇਰੈਕਟ ਉਦੋਂ ਵਾਪਰਦਾ ਹੈ ਜਦੋਂ ਕਿਸੇ ਵੈੱਬਸਾਈਟ ਨੂੰ ਬ੍ਰਾਊਜ਼ ਕਰਨ ਵਾਲੇ ਵਿਅਕਤੀ ਨੂੰ ਉਪਭੋਗਤਾ ਦੁਆਰਾ ਕੋਈ ਕਾਰਵਾਈ ਕੀਤੇ ਬਿਨਾਂ ਕਿਸੇ ਹੋਰ ਵੈੱਬਸਾਈਟ 'ਤੇ ਰੀਡਾਇਰੈਕਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਉਪਭੋਗਤਾ ਜਿਸ ਵੈੱਬਸਾਈਟ 'ਤੇ ਪਹੁੰਚਦਾ ਹੈ, ਉਹ ਆਮ ਤੌਰ 'ਤੇ ਘੁਟਾਲੇ ਦੇ ਹਿੱਸੇ ਵਜੋਂ ਵਰਤੀ ਜਾਂਦੀ ਹੈ ਜਾਂ ਮਾਲਵੇਅਰ ਦੀ ਲਾਗ ਵੱਲ ਲੈ ਜਾਂਦੀ ਹੈ।

MyAdsBro ਹੋਮਪੇਜ ਸਕ੍ਰੀਨਸ਼ੌਟ - ਸਰੋਤ: Confiant.com ਬਲੌਗ

APT31 ਨੇ ਇਸ਼ਤਿਹਾਰ ਪਲੇਟਫਾਰਮਾਂ ਨਾਲ ਸਬੰਧ ਸਥਾਪਤ ਕਰਨ ਲਈ, ਇੱਕ ਜਾਅਲੀ ਵਿਗਿਆਪਨ ਏਜੰਸੀ, Beginads ਨੂੰ ਬਣਾਇਆ ਅਤੇ ਵਰਤਿਆ। ਲਾਈਨ ਦੇ ਹੇਠਾਂ, ਇਹ ਡੋਮੇਨ ਬਣ ਗਿਆ Zirconium ਉਹਨਾਂ ਦੀਆਂ ਸਾਰੀਆਂ ਜਾਅਲੀ ਏਜੰਸੀਆਂ ਦੀਆਂ ਸਾਰੀਆਂ ਮੁਹਿੰਮਾਂ ਲਈ ਆਵਾਜਾਈ ਨੂੰ ਨਿਰਦੇਸ਼ਤ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਵੇਗਾ. APT31 ਨੇ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਸਖ਼ਤ ਮਿਹਨਤ ਕੀਤੀ ਹੈ ਕਿ ਉਹਨਾਂ ਦੇ ਕਈ ਅਸਲ ਵਿਗਿਆਪਨ ਪਲੇਟਫਾਰਮਾਂ ਦੇ ਨਾਲ ਕਾਨੂੰਨੀ ਤੌਰ 'ਤੇ ਸਬੰਧ ਹਨ। ਇਸ ਪਹੁੰਚ ਨੇ ਸਕੀਮ ਨੂੰ ਕੁਝ ਲਚਕੀਲਾਪਣ ਵੀ ਦਿੱਤਾ ਅਤੇ ਇਸ ਨਾਲ ਸ਼ੱਕ ਪੈਦਾ ਕਰਨ ਦੀ ਸੰਭਾਵਨਾ ਘੱਟ ਗਈ। APT31 ਨੇ ਐਫੀਲੀਏਟ ਮਾਰਕੀਟਿੰਗ ਪਲੇਟਫਾਰਮਾਂ ਲਈ ਟ੍ਰੈਫਿਕ ਨੂੰ ਵੀ ਦੁਬਾਰਾ ਵੇਚਿਆ। ਇਸ ਵਿਵਸਥਾ ਦਾ ਮਤਲਬ ਸੀ ਕਿ APT31 ਨੂੰ ਲੈਂਡਿੰਗ ਪੰਨਿਆਂ ਨੂੰ ਆਪਣੇ ਆਪ ਚਲਾਉਣ ਦੀ ਲੋੜ ਨਹੀਂ ਸੀ। ਸਾਈਬਰ ਅਪਰਾਧੀ ਹੋਰ ਅੱਗੇ ਚਲੇ ਗਏ , ਇੱਕ ਐਫੀਲੀਏਟ ਨੈਟਵਰਕ ਬਣਾਇਆ ਜਿਸਨੂੰ ਉਹ ਖੁਦ ਚਲਾਉਂਦੇ ਸਨ। ਨੈੱਟਵਰਕ ਨੂੰ MyAdsBro ਕਿਹਾ ਜਾਂਦਾ ਸੀ। APT31 MyAdsBro ਦੁਆਰਾ ਆਪਣੀਆਂ ਖੁਦ ਦੀਆਂ ਮੁਹਿੰਮਾਂ ਚਲਾਉਣ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਸੀ ਪਰ ਦੂਸਰੇ ਵੀ ਕਮਿਸ਼ਨ ਲਈ MyAdsBro ਵੱਲ ਟ੍ਰੈਫਿਕ ਨੂੰ ਧੱਕ ਸਕਦੇ ਸਨ।

ਗਾਹਕ ਵੈੱਬ ਪੈਨਲ ਸਕ੍ਰੀਨਸ਼ੌਟ - ਸਰੋਤ: Confiant.com ਬਲੌਗ

ਇੱਕ ਵਾਰ ਰੀਡਾਇਰੈਕਟਸ ਹੋ ਜਾਣ ਤੋਂ ਬਾਅਦ, ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਕੁਝ ਸਭ ਤੋਂ ਪ੍ਰਸਿੱਧ ਰਣਨੀਤੀਆਂ ਦੁਆਰਾ ਲਾਗ ਨੂੰ ਸਮਰੱਥ ਕਰਨ ਲਈ ਭਰਮਾਇਆ ਗਿਆ ਸੀ:

• ਨਕਲੀ Adobe Flash Player ਅੱਪਡੇਟ ਪੌਪ-ਅੱਪ
• ਨਕਲੀ ਐਂਟੀਵਾਇਰਸ ਪੌਪ-ਅਪਸ
• ਤਕਨੀਕੀ ਸਹਾਇਤਾ ਘੁਟਾਲੇ
• ਕਈ ਡਰਾਉਣੇ ਸੁਨੇਹੇ

APT31 ਨੇ ਆਪਣੀ ਸਕੀਮ ਨੂੰ ਸਥਾਪਿਤ ਕਰਨ ਅਤੇ ਇਸਨੂੰ ਜਾਇਜ਼ ਬਣਾਉਣ ਵੇਲੇ ਬਹੁਤ ਜ਼ਿਆਦਾ ਕੰਮ ਕੀਤਾ। ਸਾਰੀਆਂ ਫਰਜ਼ੀ ਏਜੰਸੀਆਂ ਕੋਲ ਵੱਖ-ਵੱਖ ਮਾਰਕੀਟਿੰਗ ਸਮੱਗਰੀ, ਸੋਸ਼ਲ ਮੀਡੀਆ ਵਿੱਚ ਪ੍ਰੋਫਾਈਲਾਂ ਵਾਲੇ ਫਰਜ਼ੀ ਅਫਸਰ, ਅਤੇ ਵਿਲੱਖਣ ਸਮੱਗਰੀ ਵਾਲੇ ਮੀਡੀਆ ਵਿੱਚ ਪੋਸਟਾਂ ਵੀ ਸਨ। ਜ਼ਿਰਕੋਨਿਅਮ ਦੀਆਂ ਜ਼ਿਆਦਾਤਰ ਕੰਪਨੀਆਂ 2017 ਦੀ ਬਸੰਤ ਵਿੱਚ ਲਾਂਚ ਕੀਤੀਆਂ ਗਈਆਂ ਸਨ। 28 ਵਿੱਚੋਂ ਸਾਰੀਆਂ ਨਹੀਂ ਵਰਤੀਆਂ ਗਈਆਂ ਸਨ ਕਿਉਂਕਿ ਉਨ੍ਹਾਂ ਵਿੱਚੋਂ 8 ਨੇ ਕਦੇ ਵੀ ਆਪਣੀ ਸੋਸ਼ਲ ਮੀਡੀਆ ਮੌਜੂਦਗੀ ਸ਼ੁਰੂ ਨਹੀਂ ਕੀਤੀ ਅਤੇ ਕਿਸੇ ਵੀ ਇਸ਼ਤਿਹਾਰੀ ਗਤੀਵਿਧੀਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਨਹੀਂ ਹੋਏ। ਸਾਈਬਰ ਅਪਰਾਧੀ ਦੀਆਂ ਕੋਸ਼ਿਸ਼ਾਂ ਸਪੱਸ਼ਟ ਤੌਰ 'ਤੇ ਸਫਲ ਰਹੀਆਂ ਸਨ। APT31 ਦੀਆਂ ਜਾਅਲੀ ਏਜੰਸੀਆਂ 16 ਅਸਲ ਵਿਗਿਆਪਨ ਪਲੇਟਫਾਰਮਾਂ ਨਾਲ ਸਿੱਧੇ ਵਪਾਰਕ ਸਬੰਧ ਬਣਾਉਣ ਵਿੱਚ ਕਾਮਯਾਬ ਰਹੀਆਂ।

ਟ੍ਰੈਫਿਕ ਦਾ ਸਿਰਫ ਇੱਕ ਛੋਟਾ ਜਿਹਾ ਹਿੱਸਾ ਉਹਨਾਂ ਨੂੰ ਇੱਕ ਅਸਲ ਪੇਲੋਡ ਤੇ ਰੀਡਾਇਰੈਕਟ ਕੀਤਾ ਗਿਆ। ਖੋਜ ਅਤੇ ਵਿਸ਼ਲੇਸ਼ਣ ਤੋਂ ਬਚਣ ਲਈ, ਜ਼ਿਰਕੋਨਿਅਮ ਨੇ ਚੋਰੀ ਦੇ ਤਰੀਕਿਆਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ। APT31 ਨੇ ਫਿੰਗਰਪ੍ਰਿੰਟਿੰਗ ਨਾਮਕ ਇੱਕ ਤਕਨੀਕ ਨੂੰ ਵਰਤਿਆ। ਇਹ ਇੱਕ ਪ੍ਰਕਿਰਿਆ ਹੈ ਜਿੱਥੇ ਸਾਈਬਰ ਅਪਰਾਧੀ ਸੰਭਾਵੀ ਪੀੜਤਾਂ ਦੇ ਸਿਸਟਮਾਂ ਬਾਰੇ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਦੇ ਹਨ ਤਾਂ ਜੋ ਦਰਸ਼ਕਾਂ ਦੇ ਇੱਕ ਖਾਸ ਹਿੱਸੇ ਨੂੰ ਵਧੇਰੇ ਸਹੀ ਢੰਗ ਨਾਲ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਜਾ ਸਕੇ। ਫਿੰਗਰਪ੍ਰਿੰਟਿੰਗ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਸਮੇਂ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਦਾ ਟੀਚਾ ਖੋਜ ਤੋਂ ਬਚਣਾ ਹੈ। ਇਸ ਉਦੇਸ਼ ਲਈ, ਉਹ ਬ੍ਰਾਊਜ਼ਰ ਵਿੱਚ JavaScript ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਨਗੇ ਅਤੇ ਇਹ ਪਤਾ ਲਗਾਉਣਗੇ ਕਿ ਕੀ ਸਕਰਿਪਟ ਸੁਰੱਖਿਆ ਸਕੈਨਰ ਦੇ ਵਿਰੁੱਧ ਚੱਲ ਰਹੀ ਹੈ। ਜੇਕਰ ਇੱਕ ਸਕੈਨਰ ਦੇ ਸੰਕੇਤ ਲੱਭੇ ਗਏ ਸਨ, ਤਾਂ ਪੇਲੋਡ ਡਿਲੀਵਰ ਨਹੀਂ ਕੀਤਾ ਜਾਵੇਗਾ। ਫਿੰਗਰਪ੍ਰਿੰਟਿੰਗ ਦੇ ਨਾਲ ਇੱਕ ਜੋਖਮ ਸ਼ਾਮਲ ਹੈ। ਸਕ੍ਰਿਪਟ ਇਸਦੀ ਤਲਾਸ਼ ਕਰਨ ਵਾਲੇ ਕਿਸੇ ਵੀ ਵਿਅਕਤੀ ਨੂੰ ਦਿਖਾਈ ਦਿੰਦੀ ਹੈ ਅਤੇ ਇਹ ਸ਼ੱਕ ਪੈਦਾ ਕਰ ਸਕਦੀ ਹੈ, ਪਰ ਫਿੰਗਰਪ੍ਰਿੰਟਿੰਗ ਪੇਲੋਡ ਦੀ ਵੱਧ ਗਿਣਤੀ ਵਿੱਚ ਤੈਨਾਤੀਆਂ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ।

APT31 ਇਸਦੀਆਂ ਸਨਕੀ ਰਣਨੀਤੀਆਂ ਦਾ ਲਾਭ ਉਠਾਉਂਦਾ ਹੈ

ਖੋਜ ਤੋਂ ਬਚਣ ਦੇ ਹੋਰ ਤਰੀਕੇ ਹਨ ਜਿਨ੍ਹਾਂ ਵਿੱਚ ਉਪਭੋਗਤਾ ਦੇ ਪਾਸੇ ਇੱਕ ਸਕ੍ਰਿਪਟ ਚਲਾਉਣਾ ਸ਼ਾਮਲ ਨਹੀਂ ਹੈ। ਸਰਵਰ ਸਾਈਡ ਵਿਧੀ ਨੂੰ ਲਾਗੂ ਕਰਨਾ ਵਧੇਰੇ ਸੁਰੱਖਿਅਤ ਹੋ ਸਕਦਾ ਹੈ ਕਿਉਂਕਿ ਇੱਕ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾ ਉਹਨਾਂ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਨ ਦੇ ਯੋਗ ਨਹੀਂ ਹੋਵੇਗਾ ਜਦੋਂ ਤੱਕ ਉਹ ਟਰਿੱਗਰ ਨਹੀਂ ਕਰਦੇ। ਅਜਿਹਾ ਇੱਕ ਤਰੀਕਾ ਇਹ ਜਾਂਚ ਕਰਨਾ ਹੈ ਕਿ ਕੀ ਉਪਭੋਗਤਾ ਦਾ IP ਇੱਕ ਡੇਟਾਸੇਂਟਰ IP ਹੈ। ਸਕੈਨਰ ਅਕਸਰ ਡੇਟਾਸੈਂਟਰ ਆਈਪੀ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ ਅਤੇ ਅਜਿਹੇ IP ਦਾ ਪਤਾ ਲਗਾਉਣਾ ਪੇਲੋਡ ਨੂੰ ਤੈਨਾਤ ਨਾ ਕਰਨ ਦਾ ਸਪੱਸ਼ਟ ਸੰਕੇਤ ਹੋਵੇਗਾ।

APT31 ਦੇ ਖਰਾਬ ਕੰਮ ਦੇ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਪੈਮਾਨੇ ਦੇ ਬਾਵਜੂਦ, ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾ ਅਜੇ ਵੀ ਬੌਧਿਕ ਸੰਪਤੀ ਦੀ ਚੋਰੀ ਹੋਣ ਲਈ ਆਪਣੇ ਮੁੱਖ ਫੋਕਸ ਦੀ ਪਛਾਣ ਕਰਦੇ ਹਨ। Zirconium ਦੇ ਸਾਰੇ ਓਪਰੇਸ਼ਨਾਂ ਦੀ ਅਸਲ ਗੁੰਜਾਇਸ਼ ਅਜੇ ਵੀ ਅਣਜਾਣ ਹੈ ਕਿਉਂਕਿ ਉਹਨਾਂ ਦੇ ਨੁਕਸਾਨ ਕਰਨ ਦੀ ਸੰਭਾਵਨਾ ਹੈ।