நோபிலியம் APT
SolarWinds என்ற மென்பொருள் உருவாக்குநருக்கு எதிராக முன்னர் அறியப்படாத ஹேக்கர் குழு ஒரு பெரிய விநியோகச் சங்கிலித் தாக்குதலை நடத்தியபோது, கடந்த ஆண்டு சைபர்-உளவு நிலப்பரப்பில் நோபிலியம் APT ஒரு முக்கியப் பங்காளராக மாறியது. அந்த நேரத்தில், மைக்ரோசாப்ட் சோலாரிகேட் என்ற பெயரை ஹேக்கர் கூட்டுக்கு வழங்கியது, ஆனால் பின்னர் அதை நோபிலியம் என மாற்றியது. சைபர் செக்யூரிட்டி நிறுவனமான FireEye, UNC2542 பதவியின் கீழ் குழுவின் செயல்பாட்டைக் கண்காணிக்கிறது.
SolarWinds தாக்குதல்
சோலார் விண்ட்ஸுக்கு எதிரான ஹேக், நோபெலியம் நான்கு வெவ்வேறு மால்வேர் விகாரங்களை வரிசைப்படுத்தியது, அவை விநியோகச் சங்கிலி தாக்குதலைத் திட்டமிட உதவியது. முதலாவதாக, சோலார்விண்ட்ஸின் நெட்வொர்க்கின் மீறல் ஏற்பட்ட உடனேயே ஹேக்கர்கள் சன்ஸ்பாட் மால்வேரை ஒரு பில்ட் சர்வரில் இறக்கிவிட்டனர். சோலார்விண்ட்ஸின் முக்கிய தயாரிப்புகளில் ஒன்றான ஐடி வளங்களை கண்காணிக்கும் தளமான ஓரியன் பில்ட் கட்டளையைக் கண்டறியும் வரை பில்ட் சர்வரில் காத்திருப்பதற்காக மால்வேர் ஸ்ட்ரெய்ன் ஒரு தனி நோக்கத்துடன் வடிவமைக்கப்பட்டுள்ளது. அந்த நேரத்தில் 33,000 க்கும் மேற்பட்ட வாடிக்கையாளர்கள் Orion ஐப் பயன்படுத்தினர். சன்ஸ்பாட் செயல்படுத்துவதற்கான சரியான சூழ்நிலைகளை அடையாளம் காணும்போது, அடுத்த கட்ட பேலோடை ஏற்றுவதற்கு பொறுப்பான சிதைந்த சில மூலக் குறியீடு கோப்புகளை திருட்டுத்தனமாக மாற்றும் - Sunburst மால்வேர். இதன் விளைவாக, இப்போது ட்ரோஜனேற்றப்பட்ட ஓரியன் பதிப்பு நிறுவனத்தின் வாடிக்கையாளர்களுக்கு விநியோகிக்கப்பட்டது, அவர்கள் அதைச் செயல்படுத்தும்போது அவர்களின் உள் நெட்வொர்க்குகளை பாதித்தனர்.
சன்பர்ஸ்ட் ஒரு உளவு கருவியாக செயல்பட்டது, அது சமரசம் செய்யப்பட்ட அமைப்பின் அமைப்புகளிலிருந்து தரவைச் சேகரித்து பின்னர் அதை ஹேக்கர்களுக்கு அனுப்பியது. சேகரிக்கப்பட்ட தகவல் நோபிலியத்தால் தாக்குதலின் தீவிரத்தை அதிகரிக்கும் வகையில் குறிப்பிட்ட பாதிக்கப்பட்டவர் முக்கியமா என்பதை தீர்மானிக்க பயன்படுத்தப்பட்டது. ஆபத்திற்கு மதிப்புள்ளதாகக் கருதப்பட்டவர்கள் தாக்குதலின் இறுதிக் கட்டத்திற்கு உட்படுத்தப்பட்டனர், இதில் அதிக சக்தி வாய்ந்த டீர்ட்ராப் பின்கதவு பயன்படுத்தப்பட்டது. டியர் டிராப் வழங்கப்படுவதோடு, சமரசம் செய்யப்பட்ட அமைப்பில் தாக்குபவர்களின் தடயத்தைக் குறைக்க சன்பர்ஸ்ட் தன்னை நீக்கிக்கொள்ள அறிவுறுத்தப்பட்டது. தேர்ந்தெடுக்கப்பட்ட சில பாதிக்கப்பட்டவர்களுக்கு, ஹேக்கர்கள் தீம்பொருள் விகாரத்தை வழங்கினர், அது டியர்ட்ராப்பை செயல்பாட்டு ரீதியாக பிரதிபலிக்கிறது, ஆனால் அதன் அடிப்படைக் குறியீட்டில் கடுமையாக வேறுபடுகிறது. கால்ட் மளைத்துைி , இந்த தீம்பொருள் அச்சுறுத்தல் ஆராய்ச்சியாளர்கள் அவர்கள் அதன் நுழைவு புள்ளி தீர்மானிக்க முடியவில்லை என, குழப்பி கண்ணீர்துளி போலல்லாமல் முந்தைய கட்ட சூரியரம்மியம் தீம்பொருள் மூலம் நேரடியாக கைவிடப்பட்டது. கோல்ட்மேக்ஸ்
புதிய நோபிலியம் தொடர்பான மால்வேர் விகாரங்களை ஆராய்ச்சியாளர்கள் கண்டுபிடித்துள்ளனர்
மைக்ரோசாப்ட் மற்றும் ஃபயர் ஐ பாதுகாப்பு நிறுவனத்தால் வெளியிடப்பட்ட நோபிலியம் ஹேக்கர்கள் தங்கள் செயல்பாடுகளை குறைக்கவில்லை. சைபர் கிரைமினல்களின் ஆயுதக் களஞ்சியத்தில் சேர்க்கப்பட்டுள்ள பல புதிய தனிப்பயன் உருவாக்க மால்வேர் விகாரங்களை ஆராய்ச்சியாளர்கள் கண்டுள்ளனர். இவற்றில் அடங்கும்:
- GoldMax /Sunshuttle மால்வேர் - ஒரு அதிநவீன பின்கதவு அச்சுறுத்தல். Google.com, Facebook.com, Yahoo.com மற்றும் Bing.com போன்றவற்றை உள்ளடக்கிய முறையான இணையதள URLகளின் பட்டியலிலிருந்து பரிந்துரையாளர்களைத் தேர்ந்தெடுப்பதன் மூலம் C2 சேவையகங்களுடனான அதன் தொடர்புகளால் ஏற்படும் போக்குவரத்தை ஒருங்கிணைக்கும் திறன் இதன் முக்கிய அம்சமாகும்.
- சிபோட் மால்வேர் - இரண்டாம் நிலை துளிசொட்டி, இது நிலைத்தன்மையை அடைவதோடு, அடுத்த கட்ட பேலோடை C2 சேவையகங்களிலிருந்து பெற்று செயல்படுத்துகிறது. அதன் அச்சுறுத்தும் விபிஸ்கிரிப்ட் கோப்பு முறையான விண்டோஸ் பணியைப் போன்ற பெயரைப் பெறுகிறது, பின்னர் பதிவேட்டில் அல்லது மீறப்பட்ட கணினியின் வட்டில் ஒரு தெளிவற்ற வடிவத்தில் சேமிக்கப்படும்.
- கோல்ட்ஃபைண்டர் மால்வேர் - HTTP ட்ரேசர் கருவியாகச் செயல்படும் மிகவும் சிறப்பு வாய்ந்த மால்வேர் திரிபு. C2 சேவையகங்களுக்கு பாக்கெட்டுகள் செல்லும் பாதையை அச்சுறுத்தல் வரைபடமாக்குகிறது. கோல்ட்ஃபைண்டர் எந்த HTTP ப்ராக்ஸி சேவையகங்களின் நோபிலியம் ஹேக்கர்களை அல்லது சமரசம் செய்யப்பட்ட நிறுவனத்தால் பயன்படுத்தப்படும் பிணைய பாதுகாப்பு சாதனங்களால் ஏற்படும் பிற திசைதிருப்பல்களை எச்சரிக்க முடியும்.
நோபெலியம் அவர்களின் அச்சுறுத்தும் இலக்குகளை சிறப்பாக அடைய உதவும் தனிப்பயனாக்கப்பட்ட கருவிகளை தொடர்ந்து கட்டவிழ்த்து வருகிறது. சோலார் விண்ட்ஸின் 18,000 வாடிக்கையாளர்களை ஹேக்கர்கள் ஏற்கனவே சமரசம் செய்து கொண்டனர். பாதிக்கப்பட்டவர்களில் பிரபல தொழில்நுட்ப நிறுவனங்கள் மற்றும் அமெரிக்க அரசு நிறுவனங்களும் அடங்கும்.