Kaspersky ने पहले ही अगस्त की शुरुआत में पूर्वी यूरोप और अफगानिस्तान में सैन्य-औद्योगिक संगठनों और सार्वजनिक संस्थानों पर हमलों की पहचान कर ली थी। उपयोग किया गया मैलवेयर चीनी भाषा बोलने वाले एपीटी समूह के समान है।
Kaspersky ICS CERT ने रूस, यूक्रेन और बेलारूस सहित कई पूर्वी यूरोपीय देशों के साथ-साथ अफगानिस्तान में औद्योगिक संयंत्रों, अनुसंधान संस्थानों, सरकारी एजेंसियों, मंत्रालयों और कार्यालयों के खिलाफ लक्षित हमलों की एक श्रृंखला की पहचान की है। एपीटी अभिनेता पीड़ितों के पूरे आईटी बुनियादी ढांचे को नियंत्रित करने और औद्योगिक जासूसी में संलग्न होने में सक्षम थे।
सैन्य कंपनियों और संगठनों पर हमले
जनवरी 2022 में, Kaspersky के विशेषज्ञों ने औद्योगिक संयंत्रों, डिज़ाइन कार्यालयों, अनुसंधान संस्थानों, सरकारी एजेंसियों, मंत्रालयों और विभागों सहित सैन्य कंपनियों और सार्वजनिक संगठनों पर कई उन्नत हमलों की खोज की, जिनका उद्देश्य संवेदनशील जानकारी चुराना और IT सिस्टम पर नियंत्रण हासिल करना था। हमलावरों द्वारा इस्तेमाल किया जाने वाला मैलवेयर TA428 APT, एक चीनी भाषी APT समूह के समान है।
लक्षित हमलावर सावधानीपूर्वक तैयार किए गए स्पीयर फ़िशिंग ईमेल के माध्यम से कॉर्पोरेट नेटवर्क में घुसपैठ करते हैं, जिनमें से कुछ में लक्षित संगठन के लिए विशिष्ट जानकारी होती है जो ईमेल भेजे जाने के समय सार्वजनिक नहीं थी। फ़िशिंग ईमेल में दुर्भावनापूर्ण कोड के साथ एक Microsoft Word दस्तावेज़ शामिल था जो भेद्यता का फायदा उठाने के लिए मनमाने कोड को अतिरिक्त गतिविधि के बिना चलाने की अनुमति देता है। Microsoft Office के एक घटक Microsoft समीकरण संपादक के पुराने संस्करणों में भेद्यता मौजूद है।
छह अलग-अलग बैकडोर का उपयोग
हमलावरों ने संक्रमित सिस्टम के साथ अतिरिक्त संचार चैनल स्थापित करने के लिए एक साथ छह अलग-अलग बैकडोर का उपयोग किया था, यदि किसी दुर्भावनापूर्ण प्रोग्राम का पता चला और सुरक्षा समाधान द्वारा हटा दिया गया। ये बैकडोर संक्रमित सिस्टम को नियंत्रित करने और संवेदनशील डेटा एकत्र करने के लिए व्यापक कार्यक्षमता प्रदान करते हैं। हमले का अंतिम चरण डोमेन नियंत्रक को अपने कब्जे में लेना और कंपनी के सभी वर्कस्टेशनों और सर्वरों पर पूर्ण नियंत्रण हासिल करना था। एक मामले में, हमलावर साइबर सुरक्षा समाधान के लिए नियंत्रण केंद्र को अपने कब्जे में लेने में भी सक्षम थे। डोमेन व्यवस्थापक अधिकार और सक्रिय निर्देशिका तक पहुंच प्राप्त करने के बाद, हमलावरों ने किसी भी संगठन के उपयोगकर्ता खातों का प्रतिरूपण करने और हमलावर संगठन के संवेदनशील डेटा वाले दस्तावेज़ों और अन्य फ़ाइलों की खोज करने के लिए एक तथाकथित "गोल्डन टिकट" हमला किया। हमलावरों ने अलग-अलग देशों में सर्वर पर बहिष्कृत डेटा की मेजबानी की।
गोल्डन टिकट अटैक
"गोल्डन टिकट हमले डिफ़ॉल्ट प्रमाणीकरण प्रोटोकॉल का उपयोग करते हैं, जो कि विंडोज 2000 की उपलब्धता के बाद से उपयोग में है," ICS CERT Kaspersky के सुरक्षा विशेषज्ञ व्याचेस्लाव कोपेयत्सेव बताते हैं। "कॉरपोरेट नेटवर्क के अंदर करबरोस टिकट ग्रांटिंग टिकट (टीजीटी) बनाकर, हमलावर नेटवर्क से संबंधित किसी भी सेवा को अनिश्चित काल तक एक्सेस कर सकते हैं। नतीजतन, केवल पासवर्ड बदलना या हैक किए गए खातों को लॉक करना पर्याप्त नहीं है। हमारी सिफारिश: सभी संदिग्ध गतिविधियों की सावधानीपूर्वक समीक्षा करें और विश्वसनीय सुरक्षा समाधानों का उपयोग करें।"
Kaspersky.com पर अधिक
Kaspersky के बारे में Kaspersky 1997 में स्थापित एक अंतरराष्ट्रीय साइबर सुरक्षा कंपनी है। Kaspersky की डीप थ्रेट इंटेलिजेंस और सुरक्षा विशेषज्ञता दुनिया भर में व्यवसायों, महत्वपूर्ण बुनियादी ढांचे, सरकारों और उपभोक्ताओं की सुरक्षा के लिए नवीन सुरक्षा समाधानों और सेवाओं की नींव के रूप में कार्य करती है। कंपनी के व्यापक सुरक्षा पोर्टफोलियो में जटिल और उभरते साइबर खतरों से बचाव के लिए अग्रणी एंडपॉइंट सुरक्षा और विशेष सुरक्षा समाधानों और सेवाओं की एक श्रृंखला शामिल है। 400 मिलियन से अधिक उपयोगकर्ता और 250.000 कॉर्पोरेट ग्राहक Kaspersky प्रौद्योगिकियों द्वारा सुरक्षित हैं। www.kaspersky.com/ पर Kaspersky के बारे में अधिक जानकारी