रूसी आक्रमण के दौरान, एक और दुर्भावनापूर्ण कार्यक्रम, आइजैकवाइपर, हर्मेटिकवाइपर के बाद दिखाई दिया। वे सीधे यूक्रेनी संगठनों के उद्देश्य से हैं। इसके अलावा, स्थानीय नेटवर्क में वितरण के लिए HermeticWizard मैलवेयर और डिकॉय रैंसमवेयर के रूप में HermeticRansom के साथ हमले किए जाते हैं।
यूक्रेन पर रूसी आक्रमण के मद्देनजर, ESET के शोधकर्ताओं ने नए वाइपर मैलवेयर परिवारों की खोज की है जिनका उपयोग यूक्रेनी संगठनों पर लक्षित साइबर हमले में किया गया था। प्रमुख यूक्रेनी वेबसाइटों के खिलाफ बड़े पैमाने पर DDoS हमलों के साथ रूसी आक्रमण से कुछ घंटे पहले पहला साइबर हमला शुरू हुआ। इन हमलों के दौरान कुछ नए प्रकार के मैलवेयर का भी उपयोग किया गया था: डेटा हटाने के लिए हर्मेटिकवाइपर, स्थानीय नेटवर्क में वितरण के लिए हर्मेटिक विज़ार्ड और डिकॉय रैंसमवेयर के रूप में हर्मेटिक रैनसम।
DDoS हमले और हर्मेटिकवाइपर अभी शुरुआत हैं
रूसी आक्रमण की शुरुआत के साथ, एक वाइपर का उपयोग करते हुए, एक यूक्रेनी सरकारी नेटवर्क के खिलाफ दूसरा हमला शुरू हुआ। ईएसईटी के शोधकर्ताओं ने इसका नाम आइजैकवाइपर रखा है। मालवेयर आर्टिफैक्ट इंगित करते हैं कि कार्रवाइयों की योजना कई महीनों से बनाई गई थी। अब तक, यूरोपीय आईटी सुरक्षा निर्माता के विशेषज्ञ एक ज्ञात हैकर समूह को हमले सौंपने में सक्षम नहीं हुए हैं। इस बात से इंकार नहीं किया जा सकता है कि जल्द या बाद में मैलवेयर का उपयोग यूक्रेन के बाहर भी किया जाएगा।
"हम वर्तमान में जांच कर रहे हैं कि क्या इसाकवाइपर और हर्मेटिकवाइपर के बीच कोई संबंध है। इसहाक वाइपर को एक यूक्रेनी सरकारी संगठन में पाया गया था जो हेर्मेटिकवाइपर से प्रभावित नहीं था," ईएसईटी के थ्रेट रिसर्च के प्रमुख जीन-इयान बाउटिन कहते हैं।
हमलों की योजना काफी पहले से बनाई गई थी
ESET के शोधकर्ता मानते हैं कि वाइपर के इस्तेमाल से बहुत पहले प्रभावित संगठनों से समझौता किया गया था। “यह मूल्यांकन कई तथ्यों पर आधारित है: हर्मेटिकवाइपर संकलन टाइमस्टैम्प, जिनमें से सबसे पुराना 28 दिसंबर, 2021 है; 13 अप्रैल, 2021 को कोड हस्ताक्षर प्रमाणपत्र जारी करने की तारीख; और कम से कम एक मामले में डिफ़ॉल्ट डोमेन नीति के माध्यम से हर्मेटिकवाइपर की तैनाती। यह इंगित करता है कि हमलावरों के पास पहले पीड़ित के सक्रिय निर्देशिका सर्वरों में से एक तक पहुंच थी," बाउटिन ने जारी रखा।
इसहाकवाइपर 24 फरवरी को ईएसईटी टेलीमेट्री में दिखाई दिया। सबसे पुराना संकलन टाइमस्टैम्प 19 अक्टूबर, 2021 को मिला था, जिसका अर्थ है कि यदि टाइमस्टैम्प के साथ छेड़छाड़ नहीं की गई है, तो हो सकता है कि पिछले ऑपरेशनों में इसाकवाइपर का उपयोग महीनों पहले किया गया हो।
आइजैक वाइपर के साथ हमलों की एक और लहर
आइजैकवाइपर का उपयोग करने के ठीक एक दिन बाद, हमलावरों ने डिबग लॉग के साथ एक नया संस्करण जारी किया। यह संकेत दे सकता है कि हमलावर कुछ लक्षित मशीनों को हटाने में सक्षम नहीं थे और जो हुआ उसे समझने के लिए लॉग संदेशों को जोड़ा। ईएसईटी शोधकर्ता इन हमलों को ज्ञात खतरे वाले अभिनेता से जोड़ने में सक्षम नहीं हैं क्योंकि ईएसईटी मैलवेयर संग्रह में अन्य उदाहरणों के लिए कोई महत्वपूर्ण कोड समानता नहीं है।
हमला करने वाले संगठनों में हर्मेटिकवाइपर फैलता है
HermeticWiper के मामले में, ESET ने लक्षित संगठनों के भीतर मैलवेयर के पार्श्व संचलन के साक्ष्य देखे और यह निर्धारित किया कि हमलावरों ने संभवतः एक सक्रिय निर्देशिका सर्वर का नियंत्रण ले लिया। एक कस्टम वर्म, जिसे ईएसईटी के शोधकर्ताओं ने हेर्मेटिक विज़ार्ड करार दिया, का उपयोग समझौता किए गए नेटवर्क पर वाइपर को फैलाने के लिए किया गया था। दूसरे वाइपर के लिए - आइजैकवाइपर - हमलावरों ने नेटवर्क के अंदर जाने के लिए रेमकॉम, एक रिमोट एक्सेस टूल और संभवतः इम्पैकेट का इस्तेमाल किया।
इसके अलावा, HermeticWiper रैंडम बाइट्स के साथ अपनी फ़ाइल को ओवरराइट करके डिस्क से खुद को मिटा देता है। यह एंटी-फोरेंसिक उपाय संभवतः किसी घटना के बाद वाइपर के विश्लेषण को रोकने के लिए है। डिकॉय रैंसमवेयर हर्मेटिक रैनसम को हर्मेटिक वाइपर के रूप में उसी समय तैनात किया गया था, संभवतः वाइपर के कार्यों को अस्पष्ट करने के लिए।
"हर्मेटिक" शब्द हर्मेटिका डिजिटल लिमिटेड से लिया गया है। ab, एक साइप्रस कंपनी जिसे कोड हस्ताक्षर प्रमाणपत्र जारी किया गया था। रॉयटर्स की एक रिपोर्ट के अनुसार, ऐसा प्रतीत होता है कि यह प्रमाणपत्र हर्मेटिका डिजिटल से चुराया नहीं गया है। इसके बजाय, इस बात की अधिक संभावना है कि DigiCert से यह प्रमाणपत्र प्राप्त करने के लिए हमलावरों ने खुद को साइप्रट कंपनी के रूप में पेश किया। ईएसईटी रिसर्च ने जारी करने वाली कंपनी डिजीसर्ट से सर्टिफिकेट तुरंत रद्द करने को कहा।
यूक्रेन पर साइबर हमलों की प्रक्रिया
- 23 फरवरी को, कई यूक्रेनी सरकारी एजेंसियों और संगठनों के खिलाफ HermeticWiper मैलवेयर (HermeticWizard और HermeticRansom के साथ) तैनात किया गया था। यह साइबर हमला यूक्रेन पर रूसी आक्रमण की शुरुआत से कुछ ही घंटे पहले हुआ है।
- हर्मेटिकवाइपर अपनी स्वयं की फ़ाइल को अधिलेखित करके डिस्क से स्वयं को मिटा देता है। इस प्रक्रिया का उद्देश्य घटना के विश्लेषण को और अधिक कठिन बनाना है।
- HermeticWiper को समझौता किए गए स्थानीय क्षेत्र नेटवर्क पर एक कस्टम वर्म द्वारा वितरित किया जाता है जिसे हमने HermeticWizard नाम दिया है।
- 24 फरवरी को, हमलों की एक दूसरी लहर ने एक यूक्रेनी सरकारी नेटवर्क को लक्षित करना शुरू किया, वह भी एक वाइपर का उपयोग करके जिसे ESET इसहाकवाइपर कहता है।
- 25 फरवरी को, हमलावरों ने डीबग लॉग के साथ आइजैक वाइपर का एक नया संस्करण जारी किया, जो दर्शाता है कि वे लक्षित कंप्यूटरों में से कुछ को मिटाने में असमर्थ थे।
- विश्लेषण के परिणाम बताते हैं कि हमलों की योजना कई महीनों से बनाई गई थी।
- ईएसईटी सुरक्षा विशेषज्ञ अभी तक इन हमलों को किसी हैकर समूह को नहीं सौंप पाए हैं।
ईएसईटी के बारे में ESET एक यूरोपीय कंपनी है जिसका मुख्यालय ब्रातिस्लावा (स्लोवाकिया) में है। 1987 से, ईएसईटी पुरस्कार विजेता सुरक्षा सॉफ्टवेयर विकसित कर रहा है जिसने पहले ही 100 मिलियन से अधिक उपयोगकर्ताओं को सुरक्षित तकनीकों का आनंद लेने में मदद की है। सुरक्षा उत्पादों के व्यापक पोर्टफोलियो में सभी प्रमुख प्लेटफॉर्म शामिल हैं और दुनिया भर में व्यवसायों और उपभोक्ताओं को प्रदर्शन और सक्रिय सुरक्षा के बीच सही संतुलन प्रदान करता है। जेना, सैन डिएगो, सिंगापुर और ब्यूनस आयर्स में 180 से अधिक देशों और कार्यालयों में कंपनी का वैश्विक बिक्री नेटवर्क है। अधिक जानकारी के लिए www.eset.de पर जाएं या हमें LinkedIn, Facebook और Twitter पर फ़ॉलो करें।