Kaspersky ने जंगली में एक नया फर्मवेयर बूटकिट खोजा है। यह हैकिंग टीम के टूलकिट पर आधारित है। यूरोप, अफ्रीका और एशिया में राजनयिकों और एनजीओ के सदस्यों पर हमलों में इसका इस्तेमाल पहले ही किया जा चुका है।
Kaspersky के शोधकर्ताओं ने फर्मवेयर बूटकिट का उपयोग करके एक उन्नत पर्सिस्टेंट थ्रेट (APT) जासूसी अभियान का खुलासा किया है। Kaspersky की UEFI/BIOS स्कैनिंग तकनीक द्वारा मैलवेयर का पता लगाया गया, जो अज्ञात खतरों का भी पता लगा सकता है। स्कैनिंग तकनीक ने यूनिफाइड एक्स्टेंसिबल फ़र्मवेयर इंटरफ़ेस (यूईएफआई) में पहले अज्ञात मैलवेयर की पहचान की, जो आज हर आधुनिक कंप्यूटिंग डिवाइस का एक अनिवार्य हिस्सा है, जिससे संक्रमित उपकरणों का पता लगाना और उनमें से मैलवेयर को हटाना बहुत मुश्किल हो जाता है। मैलवेयर का UEFI बूटकिट 2015 में लीक हुई हैकिंग टीम की बूटकिट का अनुकूलित संस्करण है।
यूईएफआई फर्मवेयर में दुर्भावनापूर्ण कोड हो सकता है
यूईएफआई फर्मवेयर कंप्यूटर का एक अनिवार्य हिस्सा है जो ऑपरेटिंग सिस्टम और उसमें स्थापित सभी प्रोग्रामों के सामने चलता है। यदि UEFI फर्मवेयर में दुर्भावनापूर्ण कोड है, तो यह कोड ऑपरेटिंग सिस्टम से पहले शुरू हो जाएगा और सुरक्षा समाधानों द्वारा इसका पता नहीं लगाया जा सकता है। इस वजह से, और क्योंकि फर्मवेयर हार्ड ड्राइव से एक अलग फ्लैश चिप पर रहता है, यूईएफआई के खिलाफ हमले बेहद लगातार और हटाने में मुश्किल होते हैं। फर्मवेयर को संक्रमित करने का अनिवार्य रूप से मतलब है कि ऑपरेटिंग सिस्टम को कितनी बार भी इंस्टॉल किया गया है, बूटकिट में निहित मैलवेयर डिवाइस पर बना रहता है।
Kaspersky के शोधकर्ताओं ने ऐसे UEFI मैलवेयर को एक अभियान के हिस्से के रूप में पाया, जो MosaicRegressor नामक एक जटिल, बहु-स्तरीय मॉड्यूलर ढांचे के वेरिएंट को तैनात करता है। जासूसी और डेटा संग्रह के लिए ढांचे का उपयोग किया गया है, यूईएफआई मैलवेयर सिस्टम पर खुद को लंगर डालने के तरीकों का हिस्सा है।
वेक्टर ईडीके बूटकिट एक टेम्पलेट के रूप में कार्य करता है
यूईएफआई बूटकिट घटक भारी रूप से हैकिंग टीम द्वारा विकसित 'वेक्टर-ईडीके' बूटकिट पर आधारित हैं, जिसका स्रोत कोड 2015 में लीक हो गया था। इसने हमलावरों को थोड़ा विकास प्रयास और जोखिम का पता लगाने के साथ अपना स्वयं का सॉफ़्टवेयर बनाने की अनुमति दी।
2019 की शुरुआत से Kaspersky उत्पादों में शामिल फर्मवेयर स्कैनर का उपयोग करके हमलों की खोज की गई थी। तकनीक को विशेष रूप से ROM-BIOS में छिपे खतरों का पता लगाने के लिए डिज़ाइन किया गया है - जिसमें UEFI फर्मवेयर इमेज शामिल हैं।
संक्रमण वेक्टर अज्ञात
हालांकि सटीक संक्रमण वेक्टर का निर्धारण करना संभव नहीं था जिसने हमलावरों को मूल यूईएफआई फर्मवेयर को अधिलेखित करने की अनुमति दी थी, कास्परस्की शोधकर्ता लीक हुए हैकिंग टीम दस्तावेजों से वेक्टरईडीके के बारे में जानकारी के आधार पर यह अनुमान लगाने में सक्षम थे कि यह कैसे किया गया था। एक संभावना यह है कि पीड़ित के कंप्यूटर तक भौतिक पहुंच के माध्यम से संक्रमण संभव था। यह बूट करने योग्य USB स्टिक का उपयोग करके हो सकता है जिसमें एक विशेष अद्यतन उपयोगिता शामिल है। पैच किए गए फर्मवेयर ने तब ट्रोजन डाउनलोडर को स्थापित करने की अनुमति दी होगी; मैलवेयर जो हमलावर के लिए उपयुक्त प्लेलोड को सक्षम करता है, उसे ऑपरेटिंग सिस्टम के चलने के दौरान डाउनलोड किया जाना चाहिए।
हालांकि, ज्यादातर मामलों में, मोज़ेकरिग्रेसर घटकों को कम परिष्कृत साधनों का उपयोग करके पीड़ितों तक पहुँचाया गया, जैसे स्पीयर फ़िशिंग, जिसमें एक डिकॉय फ़ाइल वाले संग्रह में एक ड्रॉपर छिपाना शामिल था। फ्रेमवर्क की बहु-मॉड्यूल संरचना ने हमलावरों को विश्लेषण से व्यापक ढांचे को छिपाने और केवल जरूरत पड़ने पर लक्षित कंप्यूटरों पर घटकों को तैनात करने की अनुमति दी। संक्रमित डिवाइस पर मूल रूप से इंस्टॉल किया गया मैलवेयर एक ट्रोजन डाउनलोडर है। यह एक ऐसा प्रोग्राम है जिसका उपयोग अतिरिक्त पेलोड और अन्य मैलवेयर लोड करने के लिए किया जा सकता है। पेलोड के आधार पर, मैलवेयर किसी भी URL से और किसी भी फाइल को डाउनलोड या अपलोड कर सकता है और लक्ष्य कंप्यूटर से जानकारी एकत्र कर सकता है।
हमलावरों ने राजनयिकों और गैर सरकारी संगठनों को निशाना बनाया
MosaicRegressor का उपयोग अफ्रीका, एशिया और यूरोप में राजनयिकों और गैर सरकारी संगठनों के सदस्यों के खिलाफ लक्षित हमलों की एक श्रृंखला में किया गया है। कुछ हमलों में रूसी में स्पीयर फ़िशिंग दस्तावेज़ शामिल थे, जबकि अन्य उत्तर कोरिया से जुड़े थे और मैलवेयर डाउनलोड करने के लिए चारा के रूप में उपयोग किए गए थे।
अभियान निश्चित रूप से एक ज्ञात APT अभिनेता को नहीं सौंपा जा सका।
ग्लोबल रिसर्च एंड एनालिसिस टीम (जीआरएटी) के वरिष्ठ सुरक्षा शोधकर्ता मार्क लेच्टिक ने कहा, "यूईएफआई के हमलों ने खतरे वाले अभिनेताओं के लिए महान अवसर पेश किए हैं, मोज़ेक रीग्रेसर जंगली में कस्टम दुर्भावनापूर्ण यूईएफआई फर्मवेयर का उपयोग करने वाले खतरे के अभिनेता का पहला सार्वजनिक रूप से ज्ञात मामला है।" कास्परस्की। "पहले ज्ञात हमलों ने लोजैक्स जैसे वैध सॉफ़्टवेयर का पुनरुत्पादन और पुन: उपयोग किया है। कस्टम-निर्मित यूईएफआई बूट किट का उपयोग करते हुए अब यह जंगली में पहला हमला है। इस हमले से पता चलता है कि, हालांकि दुर्लभ, असाधारण मामलों में, अभिनेता पीड़ित के डिवाइस पर यथासंभव लंबे समय तक रहने के लिए बड़ी लंबाई तक जाने को तैयार हैं। धमकी देने वाले कलाकार लगातार अपने टूलसेट में विविधता ला रहे हैं और अधिक रचनात्मक हो रहे हैं कि वे पीड़ितों को कैसे लक्षित करते हैं - और सुरक्षा विक्रेताओं को साइबर अपराधियों से आगे रहने के लिए ऐसा ही करना चाहिए। हमारी तकनीक का संयोजन और संक्रमित फर्मवेयर से जुड़े वर्तमान और पिछले अभियानों की हमारी समझ हमें ऐसे लक्ष्यों के विरुद्ध भविष्य के हमलों की निगरानी और रिपोर्ट करने की अनुमति देती है।
धमकी देने वाले अभिनेताओं का स्पष्ट लाभ है
Kaspersky के GReAT के सुरक्षा शोधकर्ता इगोर कुज़नेत्सोव कहते हैं, "लीक किए गए तृतीय-पक्ष स्रोत कोड का उपयोग करना और इसे एक नए उन्नत मैलवेयर के अनुकूल बनाना एक बार फिर से डेटा सुरक्षा के महत्व को दर्शाता है।" "एक बार सॉफ्टवेयर - चाहे वह बूटकिट हो, मालवेयर या कुछ और - लीक हो जाए, खतरे के अभिनेताओं का स्पष्ट लाभ होता है। क्योंकि स्वतंत्र रूप से उपलब्ध उपकरण उन्हें कम प्रयास और पहचाने जाने की कम संभावना के साथ अपने टूलसेट को विकसित करने और अनुकूलित करने का अवसर देते हैं।
इस पर और अधिक Kaspersky.de पर
Kaspersky के बारे में Kaspersky 1997 में स्थापित एक अंतरराष्ट्रीय साइबर सुरक्षा कंपनी है। Kaspersky की डीप थ्रेट इंटेलिजेंस और सुरक्षा विशेषज्ञता दुनिया भर में व्यवसायों, महत्वपूर्ण बुनियादी ढांचे, सरकारों और उपभोक्ताओं की सुरक्षा के लिए नवीन सुरक्षा समाधानों और सेवाओं की नींव के रूप में कार्य करती है। कंपनी के व्यापक सुरक्षा पोर्टफोलियो में जटिल और उभरते साइबर खतरों से बचाव के लिए अग्रणी एंडपॉइंट सुरक्षा और विशेष सुरक्षा समाधानों और सेवाओं की एक श्रृंखला शामिल है। 400 मिलियन से अधिक उपयोगकर्ता और 250.000 कॉर्पोरेट ग्राहक Kaspersky प्रौद्योगिकियों द्वारा सुरक्षित हैं। www.kaspersky.com/ पर Kaspersky के बारे में अधिक जानकारी