ਨੋਬੇਲੀਅਮ ਏਪੀਟੀ
ਨੋਬੇਲੀਅਮ ਏਪੀਟੀ ਪਿਛਲੇ ਸਾਲ ਸਾਈਬਰ-ਜਾਸੂਸੀ ਲੈਂਡਸਕੇਪ 'ਤੇ ਇੱਕ ਪ੍ਰਮੁੱਖ ਖਿਡਾਰੀ ਬਣ ਗਿਆ ਜਦੋਂ ਪਹਿਲਾਂ ਤੋਂ ਅਣਜਾਣ ਹੈਕਰ ਸਮੂਹ ਨੇ ਸੌਫਟਵੇਅਰ ਡਿਵੈਲਪਰ ਸੋਲਰਵਿੰਡਸ ਦੇ ਖਿਲਾਫ ਇੱਕ ਵਿਸ਼ਾਲ ਸਪਲਾਈ-ਚੇਨ ਹਮਲਾ ਕੀਤਾ ਸੀ। ਉਸ ਸਮੇਂ, ਮਾਈਕ੍ਰੋਸਾੱਫਟ ਨੇ ਹੈਕਰ ਸਮੂਹਿਕ ਨੂੰ ਸੋਲਾਰੀਗੇਟ ਨਾਮ ਦਿੱਤਾ ਸੀ ਪਰ ਬਾਅਦ ਵਿੱਚ ਇਸਨੂੰ ਨੋਬੇਲੀਅਮ ਵਿੱਚ ਬਦਲ ਦਿੱਤਾ। ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਕੰਪਨੀ FireEye UNC2542 ਅਹੁਦੇ ਦੇ ਅਧੀਨ ਸਮੂਹ ਦੀ ਗਤੀਵਿਧੀ ਨੂੰ ਟਰੈਕ ਕਰਦੀ ਹੈ।
SolarWinds ਹਮਲਾ
ਸੋਲਰਵਿੰਡਜ਼ ਦੇ ਵਿਰੁੱਧ ਹੈਕ, ਨੋਬੇਲੀਅਮ ਨੇ ਚਾਰ ਵੱਖ-ਵੱਖ ਮਾਲਵੇਅਰ ਤਣਾਅ ਨੂੰ ਤੈਨਾਤ ਕੀਤਾ ਜੋ ਉਹਨਾਂ ਦੀ ਸਪਲਾਈ-ਚੇਨ ਹਮਲੇ ਨੂੰ ਆਰਕੇਸਟ੍ਰੇਟ ਕਰਨ ਵਿੱਚ ਮਦਦ ਕਰਦਾ ਸੀ। ਪਹਿਲਾਂ, ਸੋਲਰਵਿੰਡਸ ਦੇ ਨੈੱਟਵਰਕ ਦੀ ਉਲੰਘਣਾ ਹੋਣ ਤੋਂ ਤੁਰੰਤ ਬਾਅਦ ਹੈਕਰਾਂ ਨੇ ਸਨਸਪੌਟ ਮਾਲਵੇਅਰ ਨੂੰ ਬਿਲਡ ਸਰਵਰ 'ਤੇ ਸੁੱਟ ਦਿੱਤਾ। ਮਾਲਵੇਅਰ ਸਟ੍ਰੇਨ ਨੂੰ ਇੱਕ ਸਿੰਗਲ ਉਦੇਸ਼ ਨਾਲ ਡਿਜ਼ਾਇਨ ਕੀਤਾ ਗਿਆ ਸੀ - ਬਿਲਡ ਸਰਵਰ 'ਤੇ ਇੰਤਜ਼ਾਰ ਕਰਨ ਲਈ ਜਦੋਂ ਤੱਕ ਇਹ ਇੱਕ ਬਿਲਡ ਕਮਾਂਡ ਦਾ ਪਤਾ ਨਹੀਂ ਲਗਾਉਂਦਾ ਜੋ SolarWinds ਦੇ ਮੁੱਖ ਉਤਪਾਦਾਂ ਵਿੱਚੋਂ ਇੱਕ ਨੂੰ ਇਕੱਠਾ ਕਰਦਾ ਹੈ - IT ਸਰੋਤ ਨਿਗਰਾਨੀ ਪਲੇਟਫਾਰਮ Orion. ਉਸ ਸਮੇਂ 33,000 ਤੋਂ ਵੱਧ ਗਾਹਕ Orion ਦੀ ਵਰਤੋਂ ਕਰ ਰਹੇ ਸਨ। ਜਦੋਂ ਸਨਸਪੌਟ ਐਕਟੀਵੇਟ ਕਰਨ ਲਈ ਸਹੀ ਸਥਿਤੀਆਂ ਦੀ ਪਛਾਣ ਕਰਦਾ ਹੈ, ਤਾਂ ਇਹ ਚੋਰੀ-ਛਿਪੇ ਕੁਝ ਸਰੋਤ ਕੋਡ ਫਾਈਲਾਂ ਨੂੰ ਖਰਾਬ ਹੋਈਆਂ ਫਾਈਲਾਂ ਨਾਲ ਬਦਲ ਦੇਵੇਗਾ ਜੋ ਅਗਲੇ ਪੜਾਅ ਦੇ ਪੇਲੋਡ - ਸਨਬਰਸਟ ਮਾਲਵੇਅਰ ਨੂੰ ਲੋਡ ਕਰਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਸਨ। ਨਤੀਜੇ ਵਜੋਂ, ਓਰੀਅਨ ਦਾ ਹੁਣ ਟ੍ਰੋਜਨਾਈਜ਼ਡ ਸੰਸਕਰਣ ਕੰਪਨੀ ਦੇ ਗਾਹਕਾਂ ਨੂੰ ਵੰਡਿਆ ਗਿਆ ਸੀ ਜਿਨ੍ਹਾਂ ਨੇ ਇਸ ਨੂੰ ਲਾਗੂ ਕਰਨ 'ਤੇ ਆਪਣੇ ਅੰਦਰੂਨੀ ਨੈੱਟਵਰਕਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰ ਦਿੱਤਾ ਸੀ।
ਸਨਬਰਸਟ ਨੇ ਇੱਕ ਖੋਜ ਸਾਧਨ ਵਜੋਂ ਕੰਮ ਕੀਤਾ ਜਿਸ ਨੇ ਸਮਝੌਤਾ ਕੀਤੀ ਸੰਸਥਾ ਦੇ ਸਿਸਟਮਾਂ ਤੋਂ ਡੇਟਾ ਇਕੱਠਾ ਕੀਤਾ ਅਤੇ ਫਿਰ ਇਸਨੂੰ ਹੈਕਰਾਂ ਨੂੰ ਵਾਪਸ ਭੇਜ ਦਿੱਤਾ। ਇਕੱਠੀ ਕੀਤੀ ਜਾਣਕਾਰੀ ਨੂੰ ਫਿਰ ਨੋਬੇਲੀਅਮ ਦੁਆਰਾ ਇਹ ਫੈਸਲਾ ਕਰਨ ਲਈ ਵਰਤਿਆ ਗਿਆ ਸੀ ਕਿ ਕੀ ਖਾਸ ਪੀੜਤ ਹਮਲੇ ਦੇ ਹੋਰ ਵਾਧੇ ਦੀ ਵਾਰੰਟੀ ਦੇਣ ਲਈ ਕਾਫ਼ੀ ਮਹੱਤਵਪੂਰਨ ਸੀ। ਜਿਨ੍ਹਾਂ ਨੂੰ ਜੋਖਮ ਦੇ ਯੋਗ ਸਮਝਿਆ ਗਿਆ ਸੀ ਉਹਨਾਂ ਨੂੰ ਹਮਲੇ ਦੇ ਅੰਤਮ ਪੜਾਅ ਦੇ ਅਧੀਨ ਕੀਤਾ ਗਿਆ ਸੀ ਜਿਸ ਵਿੱਚ ਵਧੇਰੇ ਸ਼ਕਤੀਸ਼ਾਲੀ ਟੀਅਰਡ੍ਰੌਪ ਬੈਕਡੋਰ ਨੂੰ ਤਾਇਨਾਤ ਕਰਨਾ ਸ਼ਾਮਲ ਸੀ। ਟੀਅਰਡ੍ਰੌਪ ਦੀ ਡਿਲਿਵਰੀ ਦੇ ਨਾਲ ਹੀ, ਸਨਬਰਸਟ ਨੂੰ ਸਮਝੌਤਾ ਸਿਸਟਮ 'ਤੇ ਹਮਲਾਵਰ ਦੇ ਪੈਰਾਂ ਦੇ ਨਿਸ਼ਾਨ ਨੂੰ ਘਟਾਉਣ ਲਈ ਆਪਣੇ ਆਪ ਨੂੰ ਮਿਟਾਉਣ ਲਈ ਨਿਰਦੇਸ਼ ਦਿੱਤਾ ਗਿਆ ਸੀ. ਕੁਝ ਚੋਣਵੇਂ ਪੀੜਤਾਂ 'ਤੇ, ਹੈਕਰਾਂ ਨੇ ਇੱਕ ਮਾਲਵੇਅਰ ਤਣਾਅ ਪ੍ਰਦਾਨ ਕੀਤਾ ਜੋ ਟੀਅਰਡ੍ਰੌਪ ਨੂੰ ਕਾਰਜਸ਼ੀਲ ਤੌਰ 'ਤੇ ਪ੍ਰਤੀਬਿੰਬਤ ਕਰਦਾ ਸੀ ਪਰ ਇਸਦੇ ਅੰਤਰੀਵ ਕੋਡ ਵਿੱਚ ਬਹੁਤ ਭਿੰਨ ਸੀ। ਰੇਨਡ੍ਰੌਪ ਕਿਹਾ ਜਾਂਦਾ ਹੈ , ਇਸ ਮਾਲਵੇਅਰ ਦੇ ਖਤਰੇ ਨੇ ਖੋਜਕਰਤਾਵਾਂ ਨੂੰ ਹੈਰਾਨ ਕਰ ਦਿੱਤਾ ਕਿਉਂਕਿ ਉਹ ਇਸਦੇ ਪ੍ਰਵੇਸ਼ ਬਿੰਦੂ ਨੂੰ ਨਿਰਧਾਰਤ ਨਹੀਂ ਕਰ ਸਕੇ, ਟੀਅਰਡ੍ਰੌਪ ਦੇ ਉਲਟ ਜੋ ਕਿ ਪਿਛਲੇ-ਪੜਾਅ ਦੇ ਸਨਬਰਸਟ ਮਾਲਵੇਅਰ ਦੁਆਰਾ ਸਿੱਧਾ ਸੁੱਟਿਆ ਗਿਆ ਸੀ। ਗੋਲਡਮੈਕਸ
ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਨਵੇਂ ਨੋਬੇਲੀਅਮ-ਸਬੰਧਤ ਮਾਲਵੇਅਰ ਤਣਾਅ ਦਾ ਖੁਲਾਸਾ ਕੀਤਾ
ਨੋਬੇਲੀਅਮ ਹੈਕਰ ਆਪਣੀਆਂ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਹੌਲੀ ਨਹੀਂ ਕਰ ਰਹੇ ਹਨ, ਜਿਵੇਂ ਕਿ ਮਾਈਕ੍ਰੋਸਾਫਟ ਅਤੇ ਫਾਇਰਈ ਸੁਰੱਖਿਆ ਕੰਪਨੀ ਦੁਆਰਾ ਪ੍ਰਗਟ ਕੀਤਾ ਗਿਆ ਹੈ ਜੋ ਅਜੇ ਵੀ ਸਮੂਹ ਦੀ ਨਿਗਰਾਨੀ ਕਰ ਰਹੇ ਹਨ। ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਕਈ ਨਵੇਂ ਕਸਟਮ-ਬਿਲਡ ਮਾਲਵੇਅਰ ਤਣਾਅ ਦੇਖੇ ਹਨ ਜੋ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਦੇ ਅਸਲੇ ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤੇ ਗਏ ਹਨ। ਇਹਨਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
- ਗੋਲਡਮੈਕਸ / ਸਨਸ਼ਟਲ ਮਾਲਵੇਅਰ - ਇੱਕ ਵਧੀਆ ਬੈਕਡੋਰ ਖ਼ਤਰਾ। ਇਸਦੀ ਮੁੱਖ ਵਿਸ਼ੇਸ਼ਤਾ ਜਾਇਜ਼ ਵੈੱਬਸਾਈਟ URL ਦੀ ਸੂਚੀ ਵਿੱਚੋਂ ਰੈਫਰਰਾਂ ਦੀ ਚੋਣ ਕਰਕੇ C2 ਸਰਵਰਾਂ ਨਾਲ ਇਸ ਦੇ ਸੰਚਾਰ ਕਾਰਨ ਹੋਣ ਵਾਲੇ ਟ੍ਰੈਫਿਕ ਨੂੰ ਮਿਲਾਉਣ ਦੀ ਸਮਰੱਥਾ ਹੈ ਜਿਸ ਵਿੱਚ Google.com, Facebook.com, Yahoo.com ਅਤੇ Bing.com ਦੀ ਪਸੰਦ ਸ਼ਾਮਲ ਹੈ।
- ਸਿਬੋਟ ਮਾਲਵੇਅਰ - ਇੱਕ ਦੂਜੇ-ਪੜਾਅ ਦਾ ਡਰਾਪਰ ਜਿਸ ਨੂੰ ਨਿਰੰਤਰਤਾ ਪ੍ਰਾਪਤ ਕਰਨ ਅਤੇ ਫਿਰ C2 ਸਰਵਰਾਂ ਤੋਂ ਅਗਲੇ ਪੜਾਅ ਦੇ ਪੇਲੋਡ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਦਾ ਕੰਮ ਸੌਂਪਿਆ ਗਿਆ ਹੈ। ਇਸਦੀ ਧਮਕੀ ਭਰੀ VBScript ਫਾਈਲ ਇੱਕ ਜਾਇਜ਼ ਵਿੰਡੋਜ਼ ਟਾਸਕ ਦੇ ਸਮਾਨ ਇੱਕ ਨਾਮ ਮੰਨਦੀ ਹੈ ਅਤੇ ਫਿਰ ਰਜਿਸਟਰੀ ਵਿੱਚ ਜਾਂ ਉਲੰਘਣਾ ਕੀਤੇ ਸਿਸਟਮ ਦੀ ਡਿਸਕ 'ਤੇ ਇੱਕ ਅਸਪਸ਼ਟ ਫਾਰਮੈਟ ਵਿੱਚ ਸਟੋਰ ਕੀਤੀ ਜਾਂਦੀ ਹੈ।
- ਗੋਲਡਫਾਈਂਡਰ ਮਾਲਵੇਅਰ - ਉੱਚ-ਵਿਸ਼ੇਸ਼ ਮਾਲਵੇਅਰ ਤਣਾਅ ਜੋ ਇੱਕ HTTP ਟਰੇਸਰ ਟੂਲ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਧਮਕੀ ਸਹੀ ਰੂਟ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ ਜੋ ਪੈਕੇਟ C2 ਸਰਵਰਾਂ 'ਤੇ ਜਾਂਦੇ ਹਨ। ਗੋਲਡਫਾਈਂਡਰ ਫਿਰ ਕਿਸੇ ਵੀ HTTP ਪ੍ਰੌਕਸੀ ਸਰਵਰਾਂ ਦੇ ਨੋਬੇਲੀਅਮ ਹੈਕਰਾਂ ਜਾਂ ਸਮਝੌਤਾ ਕੀਤੀ ਸੰਸਥਾ ਦੁਆਰਾ ਤੈਨਾਤ ਕੀਤੇ ਗਏ ਨੈਟਵਰਕ ਸੁਰੱਖਿਆ ਉਪਕਰਣਾਂ ਦੇ ਕਾਰਨ ਹੋਣ ਵਾਲੇ ਹੋਰ ਰੀਡਾਇਰੈਕਸ਼ਨਾਂ ਨੂੰ ਸੁਚੇਤ ਕਰ ਸਕਦਾ ਹੈ।
ਨੋਬੇਲੀਅਮ ਹੋਰ ਕਸਟਮ-ਮੇਡ ਟੂਲਸ ਨੂੰ ਜਾਰੀ ਕਰਨਾ ਜਾਰੀ ਰੱਖ ਰਿਹਾ ਹੈ ਜੋ ਉਹਨਾਂ ਨੂੰ ਉਹਨਾਂ ਦੇ ਖਤਰਨਾਕ ਟੀਚਿਆਂ ਨੂੰ ਬਿਹਤਰ ਢੰਗ ਨਾਲ ਪ੍ਰਾਪਤ ਕਰਨ ਵਿੱਚ ਮਦਦ ਕਰਦੇ ਹਨ। ਹੈਕਰ ਪਹਿਲਾਂ ਹੀ ਸੋਲਰਵਿੰਡਸ ਦੇ 18,000 ਤੋਂ ਵੱਧ ਗਾਹਕਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਵਿੱਚ ਕਾਮਯਾਬ ਰਹੇ ਹਨ। ਪੀੜਤਾਂ ਵਿੱਚ ਪ੍ਰਮੁੱਖ ਤਕਨੀਕੀ ਕੰਪਨੀਆਂ ਅਤੇ ਅਮਰੀਕੀ ਸਰਕਾਰੀ ਏਜੰਸੀਆਂ ਸ਼ਾਮਲ ਸਨ।
