एक पूर्व अज्ञात खतरा अभिनेता मध्य पूर्व में दूरसंचार कंपनियों को लक्षित कर रहा है जो साइबर-जासूसी अभियान के समान प्रतीत होता है जिसने हाल के वर्षों में कई देशों में दूरसंचार संगठनों को प्रभावित किया है।
नए अभियान को देखने वाले सेंटिनलवन के शोधकर्ताओं ने कहा कि वे इसे WIP26 के रूप में ट्रैक कर रहे हैं, एक पदनाम जिसका उपयोग कंपनी उस गतिविधि के लिए करती है जिसका श्रेय वह किसी विशिष्ट साइबर हमले समूह को नहीं दे पाती है।
इस सप्ताह एक रिपोर्ट में, उन्होंने नोट किया कि उनके पास था सार्वजनिक क्लाउड अवसंरचना का उपयोग करके WIP26 का अवलोकन किया गया मैलवेयर वितरित करने और एक्सफ़िल्टर्ड डेटा को स्टोर करने के लिए, साथ ही कमांड-एंड-कंट्रोल (C2) उद्देश्यों के लिए। सुरक्षा विक्रेता ने आकलन किया कि धमकी देने वाला अभिनेता रणनीति का उपयोग कर रहा है - जैसा कि आजकल कई अन्य लोग करते हैं - पता लगाने से बचने के लिए और समझौता किए गए नेटवर्क पर अपनी गतिविधि को पहचानना कठिन बनाने के लिए।
“WIP26 गतिविधि खतरे वाले अभिनेताओं द्वारा अपने टीटीपी को लगातार नवीनीकृत करने का एक प्रासंगिक उदाहरण है [रणनीति, तकनीक और प्रक्रियाएं] गुप्त रहने और सुरक्षा को चकमा देने के प्रयास में, ”कंपनी ने कहा।
लक्षित मध्यपूर्व दूरसंचार हमले
सेंटिनलवन ने जो हमले देखे, वे आमतौर पर मध्य पूर्व में लक्षित दूरसंचार कंपनियों के विशिष्ट व्यक्तियों को निर्देशित व्हाट्सएप संदेशों से शुरू हुए। संदेशों में ड्रॉपबॉक्स में एक संग्रह फ़ाइल का लिंक था जिसमें क्षेत्र से संबंधित गरीबी-संबंधित विषयों पर दस्तावेज़ शामिल होने का दावा किया गया था। लेकिन वास्तव में, इसमें एक मैलवेयर लोडर भी शामिल था।
जिन उपयोगकर्ताओं ने धोखे से लिंक पर क्लिक किया, उनके डिवाइस पर दो बैकडोर इंस्टॉल हो गए। सेंटिनलवन ने उनमें से एक पाया, जिसे सीएमडी365 के रूप में ट्रैक किया गया था, माइक्रोसॉफ्ट 365 मेल क्लाइंट को अपने सी2 के रूप में उपयोग किया गया था, और दूसरा बैकडोर, जिसे सीएमडीईंबर कहा गया था, उसी उद्देश्य के लिए Google फायरबेस इंस्टेंस का उपयोग किया गया था।
सुरक्षा विक्रेता ने WIP26 को टोही करने, विशेषाधिकार बढ़ाने, अतिरिक्त मैलवेयर तैनात करने के लिए पिछले दरवाजे का उपयोग करने वाला बताया। - और उपयोगकर्ता का निजी ब्राउज़र डेटा, पीड़ित के नेटवर्क पर उच्च-मूल्य वाले सिस्टम की जानकारी और अन्य डेटा चुराना। सेंटिनलवन ने आकलन किया कि दोनों बैकडोर पीड़ित सिस्टम और नेटवर्क से बहुत सारा डेटा एकत्र कर रहे हैं, जिससे पता चलता है कि हमलावर भविष्य के हमले के लिए तैयारी कर रहा है।
सेंटिनलवन ने कहा, "हमने जो प्रारंभिक घुसपैठ वेक्टर देखा, उसमें सटीक लक्ष्यीकरण शामिल था।" "इसके अलावा, मध्य पूर्व में दूरसंचार प्रदाताओं को निशाना बनाने से पता चलता है कि इस गतिविधि के पीछे का मकसद जासूसी से संबंधित है।"
दूरसंचार कंपनियां जासूसी का पसंदीदा लक्ष्य बनी हुई हैं
WIP26 उन कई खतरनाक तत्वों में से एक है, जिन्होंने पिछले कुछ वर्षों में दूरसंचार कंपनियों को निशाना बनाया है। कुछ और ताज़ा उदाहरण - जैसे ऑस्ट्रेलियाई दूरसंचार कंपनियों पर हमलों की एक श्रृंखला Optus, टेलस्ट्रा, तथा संवाद - आर्थिक रूप से प्रेरित थे. सुरक्षा विशेषज्ञों ने उन हमलों की ओर इशारा किया है टेलीकॉम कंपनियों में बढ़ी दिलचस्पी साइबर अपराधियों के बीच ग्राहक डेटा चोरी करना, या तथाकथित के माध्यम से मोबाइल उपकरणों को हाईजैक करना चाहते हैं सिम स्वैपिंग योजनाएं.
हालाँकि, अक्सर साइबर जासूसी और निगरानी दूरसंचार प्रदाताओं पर हमलों के लिए प्राथमिक प्रेरणा रही है। सुरक्षा विक्रेताओं ने कई अभियानों की सूचना दी है जहां चीन, तुर्की और ईरान जैसे देशों के उन्नत लगातार खतरे वाले समूहों ने संचार प्रदाता के नेटवर्क में सेंध लगाई है ताकि वे अपनी-अपनी सरकारों के हित वाले व्यक्तियों और समूहों की जासूसी कर सकें।
एक उदाहरण है ऑपरेशन सॉफ्ट सेल, जहां चीन स्थित एक समूह ने कॉल डेटा रिकॉर्ड चुराने के लिए दुनिया भर की प्रमुख दूरसंचार कंपनियों के नेटवर्क में सेंध लगाई ताकि वे विशिष्ट व्यक्तियों को ट्रैक कर सकें। एक अन्य अभियान में, एक ख़तरनाक अभिनेता के रूप में ट्रैक किया गया प्रकाश बेसिन 13 प्रमुख वाहकों के नेटवर्क से मोबाइल सब्सक्राइबर आइडेंटिटी (आईएमएसआई) और मेटाडेटा चुरा लिया। अभियान के हिस्से के रूप में, धमकी देने वाले अभिनेता ने वाहक नेटवर्क पर मैलवेयर स्थापित किया, जिससे उसे लक्षित व्यक्तियों के कॉल, टेक्स्ट संदेश और कॉल रिकॉर्ड को रोकने की अनुमति मिली।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/cloud/novel-spy-group-telecoms-targeted-cyberattacks
