साइबरेजन ने उत्तर अमेरिकी, यूरोपीय और एशियाई कंपनियों को लक्षित करने वाले वैश्विक चीनी साइबर जासूसी अभियान का पर्दाफाश किया "ऑपरेशन कुकूबीज" ने मायावी विन्न्टी ग्रुप (एपीटी 41) का अनावरण किया, जो 2019 से रक्षा, ऊर्जा, एयरोस्पेस, बायोटेक और फार्मा के खिलाफ संचालन कर रहा है।
एक्सडीआर कंपनी साइबरेजन ने ऑपरेशन कोयलबीज पर नया शोध जारी किया। वैश्विक साइबर जासूसी अभियान की 41 महीने की जांच से पता चलता है कि विंटी ग्रुप (एपीटी XNUMX) उत्तरी अमेरिका, यूरोप और एशिया में औद्योगिक कंपनियों को लक्षित कर रहा है। लक्ष्य समूह रक्षा, ऊर्जा, एयरोस्पेस, जैव प्रौद्योगिकी और फार्मास्यूटिकल्स के क्षेत्र की कंपनियां हैं।
12 महीने की जांच: ऑपरेशन कोयल बीज़
🔎 फ्लोचार्ट इस ऑपरेशन में हमले के जीवनचक्र को सारांशित करता है (छवि: साइबर कारण)
साइबरसन की जांच में पाया गया कि विन्ती कम से कम 2019 से ऑपरेशन कोयलबीज़ चला रहा था, इस प्रक्रिया में दर्जनों कंपनियों से हजारों गीगाबाइट बौद्धिक संपदा और संवेदनशील मालिकाना डेटा चोरी करने की संभावना थी। साइबरेज़न ने दो रिपोर्टें प्रकाशित कीं, पहली रिपोर्ट आक्रामक के दौरान उपयोग की जाने वाली रणनीति और तकनीकों की जाँच करती है, जबकि दूसरा उपयोग किए गए मैलवेयर और कारनामों का विस्तृत विश्लेषण प्रदान करता है.
"ऑपरेशन कोयल मधुमक्खियों के परिणाम 41 महीने की जांच की परिणति हैं जो चीनी राज्य समर्थित विन्ती समूह (APT 2019) की जटिल और व्यापक कार्रवाइयों का खुलासा करते हैं। समूह का उद्देश्य दर्जनों वैश्विक रक्षा, ऊर्जा, बायोटेक, एयरोस्पेस और दवा कंपनियों से मालिकाना जानकारी चुराना है। विशेष रूप से खतरनाक तथ्य यह है कि प्रभावित कंपनियां इस बात से अनजान थीं कि उन पर हमला किया जा रहा है - कम से कम XNUMX तक कुछ मामलों में। इसने Winnti को बौद्धिक संपदा, ब्लूप्रिंट, संवेदनशील आरेखों और अन्य मालिकाना डेटा तक मुफ्त और अनफिल्टर्ड पहुंच प्रदान की," साइबेरसन के सीईओ और सह-संस्थापक लियोर डिव ने कहा।
ऑपरेशन कोयलबीज़ - सबसे महत्वपूर्ण परिणाम
- विन्नी एपीटी समूह को असाइनमेंट: फोरेंसिक कलाकृतियों के विश्लेषण के आधार पर, साइबरसन के पास एक माध्यम से उच्च निश्चितता है कि हमले के अपराधी कुख्यात विन्ती समूह से जुड़े हैं। यह समूह कम से कम 2010 से अस्तित्व में है। माना जाता है कि यह चीन की ओर से काम करता है और साइबर जासूसी और बौद्धिक संपदा की चोरी में माहिर है।
- साइबर जासूसी के संचालन के वर्ष: साइबरसन की आईआर टीम ने एक परिष्कृत और मायावी साइबर जासूसी अभियान की जांच की जो कम से कम 2019 के बाद से किसी का पता नहीं चला था। उनका लक्ष्य मुख्य रूप से पूर्वी एशिया, पश्चिमी यूरोप और उत्तरी अमेरिका में प्रौद्योगिकी और निर्माण कंपनियों से संवेदनशील स्वामित्व वाली जानकारी चुराना था।
- नए खोजे गए मैलवेयर और संक्रमण की बहु-स्तरीय श्रृंखला: जांच से पता चलता है कि ज्ञात और पहले से अप्रमाणित Winnti मालवेयर, जिसमें डिजिटल रूप से हस्ताक्षरित कर्नेल-स्तरीय रूटकिट और एक परिष्कृत मल्टी-स्टेज संक्रमण श्रृंखला शामिल है। इसने हमले को कम से कम 2019 के बाद से जाने नहीं दिया।
- द विन्ती प्लेबुक: Cybereason घुसपैठ के लिए Winnti द्वारा उपयोग की जाने वाली प्लेबुक पर एक अनूठा रूप प्रदान करता है। यह सबसे अधिक इस्तेमाल की जाने वाली रणनीति के साथ-साथ जांच के दौरान देखी गई कुछ कम ज्ञात चोरी तकनीकों का वर्णन करता है।
- Winnti शस्त्रागार में एक नए मैलवेयर की खोज: रिपोर्टें विन्न्टी एपीटी समूह द्वारा उपयोग किए जाने वाले डेप्लॉयलॉग नामक एक पूर्व-दस्तावेजी मैलवेयर तनाव को प्रकट करती हैं। वे स्पाईडर लोडर, PRIVATELOG, और WINNKIT सहित जाने-माने Winnti मालवेयर के नए संस्करण भी प्रस्तुत करते हैं।
- Windows CLFS सुविधा का दुरूपयोग बहुत कम देखा गया है: हमलावरों ने अपने पेलोड को छिपाने और पारंपरिक सुरक्षा उत्पादों द्वारा पता लगाने से बचने के लिए विंडोज सीएलएफएस तंत्र और एनटीएफएस लेनदेन हेरफेर का इस्तेमाल किया।
- पेलोड की जटिल और अन्योन्याश्रित डिलीवरी: रिपोर्ट में WINNKIT रूटकिट के प्रसार के लिए अग्रणी जटिल संक्रमण श्रृंखला का विश्लेषण शामिल है, जिसमें कई अन्योन्याश्रित घटक शामिल हैं। हमलावरों ने एक नाजुक "ताश के पत्तों का घर" दृष्टिकोण अपनाया, जिसमें प्रत्येक घटक उचित निष्पादन के लिए दूसरों पर निर्भर करता है। इससे प्रत्येक घटक का व्यक्तिगत रूप से विश्लेषण करना बहुत कठिन हो जाता है।
"ऑपरेशन कोयल बीज़ जैसे हमलों में सबसे आम सुरक्षा भेद्यताएं हैं, अप्रकाशित सिस्टम, खराब नेटवर्क विभाजन, अप्रबंधित संपत्ति, भूले हुए खाते और बहु-कारक प्रमाणीकरण उत्पादों को तैनात करने में विफलता। भले ही ये भेद्यताएँ तुच्छ और ठीक करने में आसान लगती हों, दिन-प्रतिदिन की सुरक्षा जटिल होती है और बड़े पैमाने पर उपचार खोजना हमेशा आसान नहीं होता है। रक्षकों को एमआईटीईआर और/या इसी तरह के ढांचे के साथ संरेखित करना चाहिए ताकि यह सुनिश्चित किया जा सके कि उनके पास अपनी सबसे महत्वपूर्ण संपत्तियों की सुरक्षा के लिए सही भेद्यता का पता लगाने और सुधारात्मक क्षमताएं हैं।"
Cybereason.com पर अधिक
साइबरसन के बारे में Cybereason एक एकीकृत सुरक्षा दृष्टिकोण के साथ हमलों के खिलाफ भविष्य-प्रमाण सुरक्षा प्रदान करता है, सभी समापन बिंदुओं पर और पूरे उद्यम में, जहां कहीं भी हमले के परिदृश्य बदलेंगे। Cybereason Defence Platform उद्योग की सर्वश्रेष्ठ पहचान और प्रतिक्रिया (EDR और XDR) विधियों, अगली पीढ़ी के एंटीवायरस (NGAV) समाधानों और एक Malop™ (दुर्भावनापूर्ण ऑपरेशन) के भीतर प्रत्येक तत्व के प्रासंगिक विश्लेषण के लिए सक्रिय खतरे की खोज को जोड़ती है। Cybereason एक निजी तौर पर आयोजित अंतरराष्ट्रीय कंपनी है जिसका मुख्यालय बोस्टन में है और इसके ग्राहक 45 से अधिक देशों में हैं।