कास्परस्की के विशेषज्ञ कहते हैं कि एपीटी समूह डेथस्टाकर विशेष रूप से स्विस एसएमई पर जासूसी कर रहा है। APT Group की दुनिया भर में अन्य मध्यम आकार की कंपनियाँ हैं। पीड़ित अक्सर वित्तीय उद्योग और कानून फर्मों में पाए जाते हैं।
APT समूह डेथस्टॉकर कम से कम 2012 से वित्तीय क्षेत्र में छोटे और मध्यम आकार के व्यवसायों की जासूसी कर रहा है। हाल ही में कैस्पर्सकी जांच से पता चलता है कि डेथस्टॉकर ने स्विट्जरलैंड और दुनिया भर में कंपनियों को लक्षित किया है।
डेथस्टॉकर विशेष रूप से वित्तीय क्षेत्र में कानून फर्मों और संगठनों के खिलाफ साइबर जासूसी में माहिर हैं। खतरा अभिनेता अत्यधिक अनुकूलनीय है और सॉफ्टवेयर डिजाइन के लिए पुनरावृत्त, तेज और लचीले दृष्टिकोण का पालन करने की विशेषता है। इस प्रकार डेथस्टॉकर अभियान को प्रभावी ढंग से संचालित कर सकता है।
व्यक्तिगत गतिविधि स्पेक्ट्रम का पता लगाना मुश्किल हो जाता है
Kaspersky-Kaspersky के विशेषज्ञ अब डेथस्टॉकर की गतिविधियों को तीन मालवेयर परिवारों पॉवर्सिंग, एविलनम और जेनिकैब से जोड़ने में सक्षम हो गए हैं, जो कम से कम 2012 के बाद से समूह की व्यापक गतिविधियों को साबित करते हैं। जबकि कास्परस्की 2018 में पॉवर्सिंग की पहचान करने में सक्षम था, एविलनम और जेनिकैब पर अन्य साइबर सुरक्षा विक्रेताओं द्वारा रिपोर्ट की गई थी। तीन मैलवेयर परिवारों के बीच कोड समानता और विक्टिमोलॉजी के विश्लेषण ने उन्हें एक मध्यम संभावना के साथ जोड़ना संभव बना दिया।
समूह की रणनीति, तकनीक और काम करने का ढंग पिछले कुछ वर्षों में अपरिवर्तित रहे हैं: यह दुर्भावनापूर्ण फ़ाइलों वाले संग्रहों को वितरित करने के लिए अनुकूलित स्पीयर फ़िशिंग ईमेल का उपयोग करता है। यदि कोई उपयोगकर्ता शॉर्टकट पर क्लिक करता है, तो एक दुर्भावनापूर्ण स्क्रिप्ट निष्पादित हो जाती है और इंटरनेट से अतिरिक्त घटक डाउनलोड हो जाते हैं। यह हमलावरों को संक्रमित डिवाइस पर नियंत्रण रखने की अनुमति देता है।
डेथस्टाकर शक्तिशाली हमलों का उपयोग करता है
पॉवरिंग, एक पॉवर शेल-आधारित इम्प्लांट, पहला मैलवेयर था जिसे इस खतरे वाले अभिनेता के लिए जिम्मेदार ठहराया जा सकता था। एक बार पीड़ित का कंप्यूटर संक्रमित हो जाने के बाद, मैलवेयर स्क्रीनशॉट ले सकता है और मनमाने ढंग से पॉवरशेल स्क्रिप्ट चला सकता है। वैकल्पिक दृढ़ता विधियों के साथ जो व्यक्तिगत रूप से एक संक्रमित डिवाइस पर उपयोग किए जाने वाले सुरक्षा समाधान के अनुरूप हैं, मैलवेयर पता लगाने से बचता है। डेथस्टॉकर इसका उपयोग प्रत्येक अभियान से पहले डिटेक्शन टेस्ट चलाने और स्क्रिप्ट को तदनुसार अपडेट करने के लिए करता है।
शक्तिशाली हमलों में, डेथस्टॉकर वैध नेटवर्क ट्रैफ़िक के साथ प्रारंभिक बैकडोर संचार को एकीकृत करने के लिए एक प्रसिद्ध सार्वजनिक सेवा का भी उपयोग करता है। यह इस तरह के ऑपरेशन में बाधा डालने की संभावना को प्रभावी ढंग से सीमित करता है। डेड-ड्रॉप रिज़ॉल्वर को नियोजित करके - विभिन्न प्रकार के वैध सोशल मीडिया, ब्लॉगिंग और मैसेजिंग सेवाओं में रखे गए अतिरिक्त कमांड और कंट्रोल इंफ्रास्ट्रक्चर की ओर इशारा करते हुए सूचना के क्षेत्र - डेथस्टॉकर पहचान से बचने और अपने स्वयं के अभियानों को जल्दी से अंतिम रूप देने में सक्षम था। एक बार संक्रमित होने के बाद, पीड़ित संपर्क करते हैं और इन रिज़ॉल्वर द्वारा पुनर्निर्देशित किए जाते हैं, जिससे संचार की श्रृंखला छिपी रहती है।
डेथस्टॉकर से प्रभावित दुनिया भर के व्यवसाय
दुनिया भर में डेथस्टॉकर की कार्रवाइयों का पता चला है। अर्जेंटीना, चीन, साइप्रस, इज़राइल, लेबनान, स्विटज़रलैंड, ताइवान, तुर्की, यूनाइटेड किंगडम और संयुक्त अरब अमीरात में शक्तिशाली गतिविधि की पहचान की गई है। Kaspersky ने साइप्रस, भारत, लेबनान, रूस और संयुक्त अरब अमीरात में एविलनम पीड़ितों को भी पाया। इस समूह से संबंधित समझौता के संकेतकों पर विस्तृत जानकारी - फ़ाइल हैश और C2 सर्वर सहित - Kaspersky थ्रेट इंटेलिजेंस पोर्टल [2] के माध्यम से प्राप्त की जा सकती है।
कास्परस्की के सुरक्षा शोधकर्ता इवान क्विआटकोव्स्की ने कहा, "डेथस्टॉकर एक खतरनाक अभिनेता का एक प्रमुख उदाहरण है, जिसका निजी क्षेत्र के संगठनों को बचाव करना चाहिए।" "हालांकि हम अक्सर एपीटी समूहों की गतिविधियों पर ध्यान केंद्रित करते हैं, डेथस्टॉकर हमें याद दिलाता है कि यहां तक कि ऐसे संगठन जो पारंपरिक रूप से सबसे अधिक सुरक्षा-सचेत नहीं हैं, उन्हें यह जानने की जरूरत है कि उन्हें लक्षित किया जा सकता है। इसके अतिरिक्त, निरंतर गतिविधि के कारण, हम अनुमान लगाते हैं कि नए टूल के उपयोग के माध्यम से डेथस्टॉकर दुनिया भर के संगठनों के लिए खतरा बना रहेगा। यह खिलाड़ी इस बात का और सबूत है कि छोटे और मध्यम आकार के व्यवसायों को भी सुरक्षा और जागरूकता प्रशिक्षण में निवेश करने की आवश्यकता है। डेथस्टॉकर से सुरक्षित रहने के लिए, हम संगठनों को सलाह देते हैं कि जहाँ भी संभव हो, स्क्रिप्टिंग भाषाओं जैसे powerhell.exe और cscript.exe का उपयोग करने की क्षमता को अक्षम करें। हम यह भी अनुशंसा करते हैं कि भविष्य में जागरूकता प्रशिक्षण और सुरक्षा उत्पाद आकलन में एलएनके (शॉर्टकट) फाइलों पर आधारित संक्रमण श्रृंखलाएं शामिल हों।"
अधिक जानकारी के लिए Kaspersky.com की सिक्योरलिस्ट देखें
Kaspersky के बारे में Kaspersky 1997 में स्थापित एक अंतरराष्ट्रीय साइबर सुरक्षा कंपनी है। Kaspersky की डीप थ्रेट इंटेलिजेंस और सुरक्षा विशेषज्ञता दुनिया भर में व्यवसायों, महत्वपूर्ण बुनियादी ढांचे, सरकारों और उपभोक्ताओं की सुरक्षा के लिए नवीन सुरक्षा समाधानों और सेवाओं की नींव के रूप में कार्य करती है। कंपनी के व्यापक सुरक्षा पोर्टफोलियो में जटिल और उभरते साइबर खतरों से बचाव के लिए अग्रणी एंडपॉइंट सुरक्षा और विशेष सुरक्षा समाधानों और सेवाओं की एक श्रृंखला शामिल है। 400 मिलियन से अधिक उपयोगकर्ता और 250.000 कॉर्पोरेट ग्राहक Kaspersky प्रौद्योगिकियों द्वारा सुरक्षित हैं। www.kaspersky.com/ पर Kaspersky के बारे में अधिक जानकारी