ट्राइडेंट उरसा या एपीटी गैमारेडॉन द्वारा रूसी साइबर युद्ध संचालन यूक्रेन के आक्रमण के बाद से सक्रिय रहा है। इसके अलावा, नाटो सदस्य राज्य में एक प्रमुख तेल रिफाइनरी पर हमले का प्रयास किया गया था।
यूक्रेन ने फरवरी की शुरुआत से ही रूस से बढ़ते साइबर खतरों का सामना किया है, जब पालो ऑल्टो नेटवर्क्स की यूनिट 42 ने एपीटी समूह ट्राइडेंट उर्सा (उर्फ गैमारेडन, यूएसी-0010, प्रिमिटिव बियर, शकवर्म) पर बड़े पैमाने पर रिपोर्ट की थी। ट्राइडेंट उरसा रूसी घरेलू खुफिया एजेंसी एफएसबी से संबद्ध समूह है। जैसा कि जमीनी स्तर पर और साइबर स्पेस में संघर्ष जारी है, ट्राइडेंट उरसा यूक्रेन को लक्षित करने वाले सबसे व्यापक, लगातार सक्रिय और लक्षित एपीटी में से एक बना हुआ है।
हमले के मंच के रूप में 500 नए डोमेन
वर्तमान भू-राजनीतिक स्थिति और इस एपीटी समूह के विशिष्ट लक्ष्य फोकस को देखते हुए, यूनिट 42 शोधकर्ता सक्रिय रूप से संचालन के संकेतकों की तलाश करना जारी रखते हैं। ऐसा करते हुए, उन्होंने पिछले दस महीनों में ट्राइडेंट उरसा के विभिन्न फ़िशिंग और मैलवेयर लक्ष्यों का समर्थन करने वाले 500 से अधिक नए डोमेन, 200 नमूने और अन्य IoCs (समझौता के संकेतक) की पहचान की है। इन डोमेन के साथ-साथ ओपन सोर्स की जानकारी की निगरानी करते हुए, शोधकर्ताओं ने कई उल्लेखनीय गतिविधियों पर ध्यान दिया:
- नाटो सदस्य राज्य में एक प्रमुख रिफाइनर से समझौता करने के लिए 30 अगस्त, 2022 को एक असफल प्रयास।
- जाहिरा तौर पर ट्राइडेंट उरसा से संबंधित एक व्यक्ति ने प्रारंभिक आक्रमण के तुरंत बाद एक यूक्रेनी साइबर सुरक्षा शोधकर्ता को धमकी दी।
- कई रणनीति, तकनीक और प्रक्रियाएं (टीटीपी) बदलती हैं।
जांच के निष्कर्ष
ट्राइडेंट उरसा एक फुर्तीली और अनुकूलनीय APT बनी हुई है जो अपने संचालन में अत्यधिक परिष्कृत या जटिल तकनीकों को नियोजित नहीं करती है। ज्यादातर मामलों में, समूह सार्वजनिक रूप से उपलब्ध उपकरणों और लिपियों पर निर्भर करता है - साथ ही एक महत्वपूर्ण डिग्री के साथ-साथ संचालन को सफलतापूर्वक संचालित करने के लिए नियमित फ़िशिंग प्रयास भी करता है।
ये नियमित रूप से शोधकर्ताओं और सरकारी संगठनों द्वारा खोजे जाते हैं, जिससे समूह अचंभित प्रतीत होता है। यह बस अतिरिक्त अड़चनें, नए डोमेन और नई तकनीकें जोड़ता है, और फिर से कोशिश करता है-अक्सर पिछले पैटर्न का पुन: उपयोग भी करता है। ट्राइडेंट उरसा कम से कम 2014 से इस तरीके से काम कर रहा है और संघर्ष के इस समय के दौरान धीमा होने का कोई संकेत नहीं दिखाया है। इन सभी कारणों से यह यूक्रेन और उसके सहयोगियों के लिए एक महत्वपूर्ण खतरा बना हुआ है।
संरक्षण और उपचारात्मक कार्रवाई
ट्राइडेंट उरसा के खिलाफ सबसे अच्छा बचाव एक सुरक्षा रुख है जो रोकथाम का समर्थन करता है। यूनिट 42 अनुशंसा करती है कि कंपनियां निम्नलिखित कार्रवाइयाँ करें:
- इस ख़तरे के समूह से जुड़े समझौते के संकेतकों के संकेतकों के लिए नेटवर्क और समापन बिंदु लॉग की खोज की जा रही है।
- सुनिश्चित करें कि साइबर सुरक्षा समाधान प्रभावी रूप से सक्रिय अवसंरचना IoCs को अवरुद्ध करते हैं।
- ज्ञात C2 इन्फ्रास्ट्रक्चर के लिए DNS अनुरोधों का पता लगाने और उन्हें कम करने के लिए DNS सुरक्षा समाधान का कार्यान्वयन। जब तक किसी कंपनी के पास अपने कारोबारी माहौल में टेलीग्राम मैसेजिंग और डोमेन लुकअप टूल्स जैसी सेवाओं के लिए विशिष्ट उपयोग का मामला नहीं है, तब तक इन डोमेन को ब्लॉक सूची में जोड़ा जाना चाहिए। जीरो ट्रस्ट नेटवर्क के मामले में, डोमेन को अनुमत डोमेन की सूची में शामिल नहीं किया जाना चाहिए।
- AS 197695(Reg[.]ru) के साथ संचार करने वाले सभी नेटवर्क ट्रैफ़िक पर एक अतिरिक्त जाँच लागू करना।
पालो अल्टो नेटवर्क के बारे में पालो अल्टो नेटवर्क्स, साइबर सुरक्षा समाधानों में वैश्विक अग्रणी, क्लाउड-आधारित भविष्य को उन तकनीकों के साथ आकार दे रहा है जो लोगों और व्यवसायों के काम करने के तरीके को बदल देती हैं। हमारा मिशन पसंदीदा साइबर सुरक्षा भागीदार बनना और हमारे डिजिटल जीवन के तरीके की रक्षा करना है। हम आर्टिफिशियल इंटेलिजेंस, एनालिटिक्स, ऑटोमेशन और ऑर्केस्ट्रेशन में नवीनतम सफलताओं का लाभ उठाते हुए निरंतर नवाचार के साथ दुनिया की सबसे बड़ी सुरक्षा चुनौतियों का समाधान करने में आपकी सहायता करते हैं। एक एकीकृत मंच प्रदान करके और भागीदारों के बढ़ते पारिस्थितिकी तंत्र को सशक्त बनाकर, हम क्लाउड, नेटवर्क और मोबाइल उपकरणों में हजारों व्यवसायों की सुरक्षा करने में अग्रणी हैं। हमारा विजन एक ऐसी दुनिया है जहां हर दिन पहले से ज्यादा सुरक्षित है।