APT35

APT35 விளக்கம்

apt35 ஹேக்கர் குழு தாக்குதல்கள் APT35 (மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல்) என்பது ஈரானில் இருந்து தோன்றியதாக நம்பப்படும் ஹேக்கிங் குழு ஆகும். இந்த ஹேக்கிங் குழு வேறு பல மாற்றுப்பெயர்களின் கீழ் அறியப்படுகிறது - நியூஸ்காஸ்டர் டீம், பாஸ்பரஸ், சார்மிங் கிட்டன் மற்றும் அஜாக்ஸ் செக்யூரிட்டி டீம். APT35 ஹேக்கிங் குழு பொதுவாக அரசியல் ரீதியாக தூண்டப்பட்ட பிரச்சாரங்கள் மற்றும் நிதி ரீதியாக ஊக்கமளிக்கும் பிரச்சாரங்களில் ஈடுபட்டுள்ளது. APT35 ஹேக்கிங் குழு மனித உரிமைகள் செயல்பாட்டில் ஈடுபட்டுள்ள நடிகர்கள், பல்வேறு ஊடக நிறுவனங்கள் மற்றும் முக்கியமாக கல்வித் துறைக்கு எதிராக தங்கள் முயற்சிகளை ஒருமுகப்படுத்த முனைகிறது. பெரும்பாலான பிரச்சாரங்கள் அமெரிக்கா, இஸ்ரேல், ஈரான் மற்றும் இங்கிலாந்து ஆகிய நாடுகளில் மேற்கொள்ளப்படுகின்றன.

பிரபலமான APT35 பிரச்சாரங்கள்

2017 ஆம் ஆண்டு HBO க்கு எதிராக மேற்கொள்ளப்பட்ட APT35 செயல்பாடுகளில் ஒன்று, APT35 ஆனது 1TB க்கு மேல் டேட்டாவைக் கசிந்தது, அதில் பணியாளர்களின் தனிப்பட்ட விவரங்கள் மற்றும் நிகழ்ச்சிகள் இருந்தன, அவை இன்னும் அதிகாரப்பூர்வமாக ஒளிபரப்பப்படவில்லை. மற்றொரு பிரபலமற்ற APT35 பிரச்சாரம் அவர்களை வரைபடத்தில் வைக்கிறது, இது ஒரு அமெரிக்க விமானப் படையில் இருந்து விலகியவர்களையும் உள்ளடக்கியது. கேள்விக்குரிய நபர், அரசாங்கத்தின் வகைப்படுத்தப்பட்ட தரவை அணுகுவதில் APT35 க்கு உதவினார். 2018 ஆம் ஆண்டில், APT35 குழுவானது ஒரு முறையான இஸ்ரேலிய இணையப் பாதுகாப்பு நிறுவனத்தைப் பிரதிபலிக்கும் வகையில் ஒரு வலைத்தளத்தை உருவாக்கியது. ஒரே வித்தியாசம் என்னவென்றால், போலி இணையதளம் சற்று மாற்றப்பட்ட டொமைன் பெயரைக் கொண்டிருந்தது. இந்த பிரச்சாரம் APT35 நிறுவனத்தின் சில வாடிக்கையாளர்களின் உள்நுழைவு விவரங்களைப் பெற உதவியது. APT35 சம்பந்தப்பட்ட சமீபத்திய பிரபலமற்ற பிரச்சாரம் டிசம்பர் 2018 இல் மேற்கொள்ளப்பட்டது. இந்த நடவடிக்கையில், APT35 குழுவானது சார்மிங் கிட்டன் என்ற பெயரில் இயங்கியது. இந்த நடவடிக்கையானது பொருளாதாரத் தடைகள் மற்றும் அந்த நேரத்தில் ஈரான் மீது விதிக்கப்பட்ட இராணுவத் தடைகளில் செல்வாக்கு பெற்ற பல்வேறு அரசியல் ஆர்வலர்களை குறிவைத்தது. APT35 குழுவானது, தங்கள் இலக்குகளின் அதே துறைகளில் ஈடுபட்டுள்ள உயர்தர நிபுணர்களாகக் காட்டிக்கொண்டது. தாக்குதல் நடத்தியவர்கள் போலி இணைப்புகள் மற்றும் போலியான சமூக ஊடக சுயவிவரங்களைக் கொண்டு வடிவமைக்கப்பட்ட ஃபிஷிங் மின்னஞ்சல்களைப் பயன்படுத்தினர்.

போலி நேர்காணல் மின்னஞ்சல்களுடன் ஃபிஷிங்

இலக்கு ஃபிஷிங் பிரச்சாரங்கள் சார்மிங் கிட்டனின் செயல்பாட்டின் ஒரு பகுதியாகும், ஹேக்கர்கள் போலி மின்னஞ்சல்கள் மற்றும் சமூக பொறியியலை செயல்படுத்தும் முறைகளாகப் பயன்படுத்துகின்றனர். ஒரு 2019 பிரச்சாரத்தில், சார்மிங் கிட்டன் குழு முன்னாள் வோல் ஸ்ட்ரீட் ஜர்னல் (WSJ) பத்திரிகையாளர்களைப் போல ஆள்மாறாட்டம் செய்து, அவர்கள் விரும்பிய பாதிக்கப்பட்டவர்களை ஒரு போலி நேர்காணல் காட்சியுடன் அணுகியது. பொதுவாக ஈரானிய மற்றும் சர்வதேச விவகாரங்களின் தலைப்புகளில் ''CNN நேர்காணல்'' மற்றும் ''Deutsche Welle Webinar இன் அழைப்பிதழ்'' போன்ற பல்வேறு காட்சிகளைப் பயன்படுத்தி குழு காணப்பட்டது.

ஒரு குறிப்பிட்ட வழக்கில், தாக்குதல் நடத்தியவர்கள் அரபு மொழியில் ஒரு போலி மின்னஞ்சலை உருவாக்கினர், தற்போது நியூயார்க் டைம்ஸ் பத்திரிகையாளரான ஃபர்னாஸ் ஃபாசிஹியின் அடையாளத்தைப் பயன்படுத்தி, அவர் முன்பு 17 ஆண்டுகளாக தி வால் ஸ்ட்ரீட் ஜர்னலில் பணிபுரிந்தார். சுவாரஸ்யமாக, ஹேக்கர்கள் ஃபர்னாஸ் ஃபசிஹியை அவரது முன்னாள் முதலாளியான தி வால் ஸ்ட்ரீட் ஜேர்னலில் பணிபுரிந்ததாகக் காட்டினார்கள்.


போலி நேர்காணல் கோரிக்கை மின்னஞ்சல் - ஆதாரம்: blog.certfa.com

மின்னஞ்சல் மொழிபெயர்ப்பு:

வணக்கம் *** ***** ******
என் பெயர் ஃபர்னாஸ் ஃபசிஹி. நான் வால் ஸ்ட்ரீட் ஜர்னல் செய்தித்தாளில் பத்திரிகையாளராக இருக்கிறேன்.
WSJ இன் மத்திய கிழக்கு குழு, வளர்ந்த நாடுகளில் வெற்றிகரமான உள்ளூர் அல்லாத நபர்களை அறிமுகப்படுத்த விரும்புகிறது. ஆராய்ச்சி மற்றும் அறிவியல் தத்துவம் ஆகிய துறைகளில் உங்கள் செயல்பாடுகள் உங்களை ஒரு வெற்றிகரமான ஈரானியராக அறிமுகப்படுத்த வழிவகுத்தது. மத்திய கிழக்கு அணியின் இயக்குனர், உங்களுடன் ஒரு நேர்காணலை அமைக்கவும், உங்கள் சில முக்கியமான சாதனைகளை எங்கள் பார்வையாளர்களுடன் பகிர்ந்துகொள்ளவும் எங்களிடம் கேட்டார். இந்த நேர்காணல் நமது அன்புக்குரிய நாட்டின் இளைஞர்களை அவர்களின் திறமைகளைக் கண்டறிந்து வெற்றியை நோக்கிச் செல்ல ஊக்குவிக்கும்.
இந்த நேர்காணல் தனிப்பட்ட முறையில் எனக்குக் கிடைத்த மிகப் பெரிய கௌரவம் என்பதைச் சொல்லத் தேவையில்லை, நேர்காணலுக்கான எனது அழைப்பை ஏற்குமாறு கேட்டுக்கொள்கிறேன்.
கேள்விகள் எனது சக ஊழியர்களின் குழுவால் தொழில்ரீதியாக வடிவமைக்கப்பட்டுள்ளன, இதன் விளைவாக நேர்காணல் WSJ இன் வாராந்திர நேர்காணல் பிரிவில் வெளியிடப்படும். நீங்கள் ஏற்றுக்கொண்டவுடன் நேர்காணலுக்கான கேள்விகள் மற்றும் தேவைகளை உங்களுக்கு அனுப்புகிறேன்.
*அடிக்குறிப்பு: உள்ளூர் அல்லாதது பிற நாடுகளில் பிறந்தவர்களைக் குறிக்கிறது.
உங்கள் கருணை மற்றும் கவனத்திற்கு நன்றி.
ஃபர்னாஸ் ஃபசிஹி

மின்னஞ்சல்களில் உள்ள அனைத்து இணைப்புகளும் சுருக்கப்பட்ட URL வடிவத்தில் இருந்தன, இது ஹேக்கர்களால் பாதிக்கப்பட்டவரை முறையான முகவரிகளுக்கு வழிநடத்த பயன்படுத்தப்பட்டது, அதே நேரத்தில் இயக்க முறைமை, உலாவி மற்றும் ஐபி முகவரி போன்ற அவர்களின் சாதனங்களைப் பற்றிய அத்தியாவசிய தகவல்களைச் சேகரிக்கிறது. இந்த தகவல் ஹேக்கர்களிடமிருந்து அவர்களின் இலக்குகள் மீதான முக்கிய தாக்குதலுக்கான தயாரிப்பில் தேவைப்பட்டது.


Google தளங்களில் ஹோஸ்ட் செய்யப்பட்ட போலி WSJ பக்கத்தின் மாதிரி - ஆதாரம்: blog.certfa.com

உத்தேசிக்கப்பட்ட இலக்குடன் உறவினர் நம்பிக்கையை ஏற்படுத்திய பிறகு, ஹேக்கர்கள் அவர்களுக்கு ஒரு தனித்துவமான இணைப்பை அனுப்புவார்கள், அதில் நேர்காணல் கேள்விகள் இருப்பதாகக் கூறப்படுகிறது. ஃபார்சியில் உள்ள கணினி அவசரநிலைப் பதிலளிப்புக் குழுவால் (CERTFA) சோதனை செய்யப்பட்ட மாதிரிகளின்படி, தாக்குபவர்கள் ஒப்பீட்டளவில் புதிய முறையைப் பயன்படுத்துகின்றனர், இது கடந்த ஆண்டில் ஃபிஷர்களிடையே மிகவும் பிரபலமாகி, Google தளங்களில் பக்கங்களை ஹோஸ்ட் செய்து வருகிறது.

பாதிக்கப்பட்டவர் Google தளப் பக்கத்தில் உள்ள ''பதிவிறக்கு'' பொத்தானைக் கிளிக் செய்தவுடன், அவர்கள் மற்றொரு போலி பக்கத்திற்குத் திருப்பி விடப்படுவார்கள், அது அவர்களின் மின்னஞ்சல் முகவரிக்கான உள்நுழைவுச் சான்றுகள் மற்றும் அவர்களின் இரு காரணி அங்கீகாரக் குறியீட்டை மொட்லிஷ்கா போன்ற ஃபிஷிங் கிட்களைப் பயன்படுத்தி அறுவடை செய்ய முயற்சிக்கும்.

APT35 இன் டவுன்பேப்பர் மால்வேர்

டவுன்பேப்பர் கருவி ஒரு பின்கதவு ட்ரோஜன் ஆகும், இது பெரும்பாலும் முதல்-நிலை பேலோடாகப் பயன்படுத்தப்படுகிறது மற்றும் அதற்கான திறன்களைக் கொண்டுள்ளது:

  • தாக்குபவர்களின் C&C (கட்டளை & கட்டுப்பாடு) சேவையகத்துடன் இணைப்பை உருவாக்கி, ஊடுருவிய ஹோஸ்டில் செயல்படுத்தப்பட வேண்டிய கட்டளைகள் மற்றும் தீங்கு விளைவிக்கும் பேலோடுகளைப் பெறவும்.
  • விண்டோஸ் ரெஜிஸ்ட்ரியை சேதப்படுத்துவதன் மூலம் விடாமுயற்சியைப் பெறுங்கள்.
  • வன்பொருள் மற்றும் மென்பொருள் தரவு போன்ற சமரசம் செய்யப்பட்ட அமைப்பு பற்றிய தகவல்களை சேகரிக்கவும்.
  • CMD மற்றும் PowerShell கட்டளைகளை இயக்கவும்.

APT35 ஹேக்கிங் குழு தனி நபர்களின் மிகவும் நிலையான குழுவாகும், மேலும் அவர்கள் எந்த நேரத்திலும் தங்கள் செயல்பாடுகளை நிறுத்த திட்டமிட்டிருக்க வாய்ப்பில்லை. ஈரானைச் சுற்றியுள்ள அரசியல் சூழல் சிறிது காலமாக சூடுபிடித்திருப்பதை மனதில் வைத்து, எதிர்காலத்தில் APT35 குழுவின் பிரச்சாரங்களைப் பற்றி நாம் தொடர்ந்து கேட்கலாம்.

மே 10, 2020 அன்று புதுப்பிக்கப்பட்டது - APT35 கோவிட்-19 ஹேக்கிங் பிரச்சாரத்தில் ஈடுபட்டுள்ளது

இணைய பாதுகாப்பு நிபுணர்களால் மதிப்பாய்வு செய்யப்பட்ட பொதுவில் கிடைக்கக்கூடிய இணையக் காப்பகங்களின் தொகுப்பு, மற்ற பெயர்களுடன், சார்மிங் கிட்டன் எனப்படும் ஈரானிய ஹேக்கிங் குழு, கோவிட்-19 ஆராய்ச்சியில் ஈடுபட்டுள்ள கலிபோர்னியாவைச் சேர்ந்த கிலியட் சயின்சஸ் இன்க் மருந்து நிறுவனத்திற்கு எதிராக ஏப்ரல் மாதம் சைபர் தாக்குதலுக்குப் பின்னால் இருந்தது தெரியவந்தது.

பாதுகாப்பு ஆராய்ச்சியாளர்கள் கண்ட நிகழ்வுகளில் ஒன்றில், ஹேக்கர்கள் ஒரு போலி மின்னஞ்சல் உள்நுழைவுப் பக்கத்தைப் பயன்படுத்தினர், இது கார்ப்பரேட் மற்றும் சட்ட விவகாரங்களில் ஈடுபட்டுள்ள உயர் கிலியட் நிர்வாகியின் கடவுச்சொற்களைத் திருடுவதற்காக வடிவமைக்கப்பட்டது. தீங்கிழைக்கும் செயல்களுக்காக இணைய முகவரிகளை ஸ்கேன் செய்யப் பயன்படும் இணையதளத்தில் இந்தத் தாக்குதல் கண்டறியப்பட்டது, ஆனால் அது வெற்றிகரமாக இருந்ததா என்பதை ஆராய்ச்சியாளர்களால் கண்டறிய முடியவில்லை.

பிரபலமான ஹேக்கர் குழுக்கள்
பிரபலமான APT ஹேக்கர் குழுக்கள் விளக்கப்படம் - ஆதாரம்: Securitystack.co

இஸ்ரேலிய சைபர் செக்யூரிட்டி நிறுவனமான கிளியர்ஸ்கையைச் சேர்ந்த ஓஹாட் ஜைடன்பெர்க் இந்த தாக்குதலை ஆய்வு செய்த ஆய்வாளர்களில் ஒருவர். கிலியட் மீதான ஏப்ரல் தாக்குதல், ஒரு பத்திரிகையாளர் விசாரணையைப் போல ஆள்மாறாட்டம் செய்யும் செய்தியுடன் கார்ப்பரேட் மின்னஞ்சல் கணக்குகளை சமரசம் செய்யும் முயற்சி என்று அவர் கருத்து தெரிவித்தார். பகிரங்கமாக கருத்து தெரிவிக்க அதிகாரமில்லாத பிற ஆய்வாளர்கள், சார்மிங் கிட்டன் என அழைக்கப்படும் ஈரானிய ஹேக்கிங் குழுவால் முன்னர் பயன்படுத்தப்பட்ட டொமைன்கள் மற்றும் சர்வர்களை இந்தத் தாக்குதல் பயன்படுத்தியதை உறுதிப்படுத்தியுள்ளனர்.

ஐக்கிய நாடுகள் சபைக்கான ஈரானின் தூதரகப் பணி இது போன்ற தாக்குதல்களில் எந்தத் தொடர்பும் இல்லை என்று மறுத்துள்ளது, செய்தித் தொடர்பாளர் அலிரேசா மிர்யோசெஃபி, "ஈரானிய அரசாங்கம் இணையப் போரில் ஈடுபடவில்லை" என்று கூறினார், மேலும் "ஈரான் சைபர் நடவடிக்கைகள் முற்றிலும் தற்காப்பு மற்றும் மேலும் தாக்குதல்களில் இருந்து பாதுகாக்கும். ஈரானிய உள்கட்டமைப்பு."

ஈரான் தாக்குதல் நடத்திய நாடுகளை குறிவைத்தது
சமீபத்திய ஈரானிய சைபர் பிரச்சாரங்களில் குறிவைக்கப்பட்ட நாடுகள் - ஆதாரம்: Stratfor.com

இணையப் பாதுகாப்பு விஷயங்களைப் பற்றி விவாதிப்பதில் கிலியட் நிறுவனத்தின் கொள்கையைப் பின்பற்றி கருத்து தெரிவிக்க மறுத்துவிட்டது. இந்த நிறுவனம் சமீபத்தில் அதிக கவனத்தைப் பெற்றுள்ளது, ஏனெனில் இது வைரஸ் எதிர்ப்பு மருந்தான ரெமெடிசிவிர் தயாரிப்பாளராக உள்ளது, இது தற்போது COVID-19 நோயால் பாதிக்கப்பட்ட நோயாளிகளுக்கு உதவ நிரூபிக்கப்பட்ட ஒரே சிகிச்சையாகும். கொடிய நோய்க்கான சிகிச்சையின் ஆராய்ச்சி மற்றும் மேம்பாட்டை வழிநடத்தும் நிறுவனங்களில் கிலியட் நிறுவனமும் ஒன்றாகும், இது புலனாய்வுச் சேகரிப்பு முயற்சிகளுக்கான பிரதான இலக்காக அமைகிறது.