स्पाइवेयर अभियान से दुनिया भर के हजारों औद्योगिक कंप्यूटर प्रभावित हुए। जर्मनी में प्रभावित आईसीएस कंप्यूटरों का 1,6 प्रतिशत। उपयोग किया गया मैलवेयर लाजर के साथ समानता दिखाता है।
जनवरी के मध्य से नवंबर 2021 के मध्य तक, Kaspersky के विशेषज्ञों ने नए मैलवेयर देखे, जिन्होंने 35.000 देशों में 195 से अधिक कंप्यूटरों को संक्रमित किया। 'PseudoManuscrypt' मालवेयर एडवांस्ड परसिस्टेंट थ्रेट (APT) ग्रुप Lazarus के 'Manuscrypt' मालवेयर से समानता दिखाता है। इसमें उन्नत जासूसी क्षमताएं हैं और अब तक सरकारी संगठनों और औद्योगिक नियंत्रण प्रणालियों (आईसीएस) पर हमलों में इसका पता चला है।
35.000 आईसीएस कंप्यूटर प्रभावित
औद्योगिक कंपनियां साइबर अपराधियों के लिए सबसे अधिक मांग वाले लक्ष्यों में से हैं - दोनों वित्तीय कारणों से और क्योंकि उनके पास पेशकश करने के लिए बहुत सारी जानकारी है। इस साल, APT समूहों जैसे Lazarus और APT41 ने औद्योगिक कंपनियों में गहरी दिलचस्पी दिखाई। हमलों की एक श्रृंखला की जांच करते हुए, कास्परस्की के विशेषज्ञों ने मैलवेयर का एक नया टुकड़ा पाया जो लाजर के मैनुस्क्रिप्ट मैलवेयर के लिए कुछ समानताएं रखता है, जिसका उपयोग रक्षा उद्योग के खिलाफ उस समूह के थ्रेटनीडल अभियान के हिस्से के रूप में किया जाता है। इसलिए PseudoManuscrypt नाम दो अभियानों की समानता पर आधारित है।
छद्म मनुस्क्रिप्ट के साथ संक्रमण
PseudoManuscrypt को नकली पायरेटेड सॉफ्टवेयर इंस्टालेशन आर्काइव्स के माध्यम से सबसे पहले टारगेट सिस्टम पर डाउनलोड किया जाता है, जिनमें से कुछ ICS- विशिष्ट पायरेटेड सॉफ्टवेयर के लिए डिज़ाइन किए गए हैं। ये नकली इंस्टालर यकीनन एक मालवेयर-एज़-ए-सर्विस (MaaS) प्लेटफॉर्म के माध्यम से पेश किए जाते हैं, हालाँकि, कुछ मामलों में, PseudoManuscrypt को कुख्यात Glupteba botnet के माध्यम से भी इंस्टॉल किया गया है। प्रारंभिक संक्रमण के बाद, एक जटिल संक्रमण श्रृंखला होती है, जिसके माध्यम से दुर्भावनापूर्ण मुख्य मॉड्यूल को डाउनलोड किया जाता है।
Kaspersky विशेषज्ञ इस मॉड्यूल के दो रूपों की पहचान करने में सक्षम थे, जिनमें से दोनों में उन्नत स्पाइवेयर क्षमताएं हैं - जिसमें लॉगिंग कीस्ट्रोक्स, क्लिपबोर्ड से डेटा कॉपी करना, वीपीएन (और संभवतः आरडीपी) प्रमाणीकरण और कनेक्शन डेटा चोरी करना, साथ ही स्क्रीनशॉट कॉपी करना शामिल है।
हैकर्स और APT समूहों द्वारा लक्षित उद्योग
Kaspersky उत्पादों ने 20 देशों में 10 से अधिक कंप्यूटरों पर 2021 जनवरी से 35.000 नवंबर, 195 के बीच PseudoManuscrypt को ब्लॉक कर दिया। कई लक्ष्य औद्योगिक और सरकारी संगठन थे, जिनमें सैन्य-औद्योगिक कंपनियां और अनुसंधान प्रयोगशालाएं शामिल थीं। जिन कंप्यूटरों पर हमला किया गया उनमें से 7,2 प्रतिशत औद्योगिक नियंत्रण प्रणाली (आईसीएस) का हिस्सा थे, जिनमें इंजीनियरिंग और बिल्डिंग ऑटोमेशन उद्योग सबसे ज्यादा प्रभावित हुए। प्रभावित आईसीएस कंप्यूटरों में से 1,6 प्रतिशत और प्रभावित अन्य कंप्यूटरों में से 2,2 प्रतिशत जर्मनी में थे। हमलों में कोई उद्योग वरीयता नहीं दिखाई देती है, लेकिन बड़ी संख्या में प्रभावित तकनीकी कंप्यूटर, जिनमें 3डी और भौतिक मॉडलिंग और डिजिटल जुड़वाँ के लिए उपयोग की जाने वाली प्रणालियाँ शामिल हैं, सुझाव देते हैं कि औद्योगिक जासूसी एक लक्ष्य हो सकता है।
अजीब बात यह है कि प्रभावित आईसीएस कंप्यूटरों में से कुछ कास्पर्सकी के आईसीएस सीईआरटी द्वारा पहले रिपोर्ट किए गए लाजर अभियान पीड़ितों से संबंध हैं। डेटा हमलावरों के सर्वर को एक दुर्लभ प्रोटोकॉल के माध्यम से भेजा जाता है जो पहले केवल APT41 मैलवेयर द्वारा उपयोग की जाने वाली लाइब्रेरी का उपयोग करता है। हालांकि, बड़ी संख्या में पीड़ितों और स्पष्ट फोकस की कमी को देखते हुए, कास्परस्की अभियान को लाजर या किसी अन्य ज्ञात एपीटी खतरे वाले अभिनेता के साथ नहीं जोड़ता है।
Kaspersky.com पर अधिक
Kaspersky के बारे में Kaspersky 1997 में स्थापित एक अंतरराष्ट्रीय साइबर सुरक्षा कंपनी है। Kaspersky की डीप थ्रेट इंटेलिजेंस और सुरक्षा विशेषज्ञता दुनिया भर में व्यवसायों, महत्वपूर्ण बुनियादी ढांचे, सरकारों और उपभोक्ताओं की सुरक्षा के लिए नवीन सुरक्षा समाधानों और सेवाओं की नींव के रूप में कार्य करती है। कंपनी के व्यापक सुरक्षा पोर्टफोलियो में जटिल और उभरते साइबर खतरों से बचाव के लिए अग्रणी एंडपॉइंट सुरक्षा और विशेष सुरक्षा समाधानों और सेवाओं की एक श्रृंखला शामिल है। 400 मिलियन से अधिक उपयोगकर्ता और 250.000 कॉर्पोरेट ग्राहक Kaspersky प्रौद्योगिकियों द्वारा सुरक्षित हैं। www.kaspersky.com/ पर Kaspersky के बारे में अधिक जानकारी