शोधकर्ताओं ने फरवरी 2022 में देश पर रूस के आक्रमण से ठीक पहले यूक्रेन में उपग्रह ब्रॉडबैंड सेवा को बाधित करने के लिए रूसी सैन्य खुफिया द्वारा इस्तेमाल किए गए वाइपर मैलवेयर के एक अधिक खतरनाक और विपुल संस्करण का खुलासा किया है।
नया संस्करण, "एसिड डालना,“अपने पूर्ववर्ती के साथ कई समानताएं रखता है लेकिन एसिडरेन के विपरीत, जो एमआईपीएस-आधारित सिस्टम को लक्षित करता है, X86 आर्किटेक्चर के लिए संकलित किया गया है। खतरे का पता लगाने वाले सेंटिनलवन के शोधकर्ताओं के अनुसार, नए वाइपर में एसिडरेन की तुलना में लक्ष्यों की एक विस्तृत श्रृंखला के खिलाफ इसके उपयोग की विशेषताएं भी शामिल हैं।
व्यापक विनाशकारी क्षमताएँ
सेंटिनलवन के वरिष्ठ खतरे शोधकर्ता टॉम हेगेल कहते हैं, "एसिडपौर की विस्तारित विनाशकारी क्षमताओं में लिनक्स अनसॉर्टेड ब्लॉक इमेज (यूबीआई) और डिवाइस मैपर (डीएम) लॉजिक शामिल है, जो हैंडहेल्ड, आईओटी, नेटवर्किंग या, कुछ मामलों में, आईसीएस उपकरणों को प्रभावित करता है।" "स्टोरेज एरिया नेटवर्क (एसएएन), नेटवर्क अटैच्ड स्टोरेज (एनएएस), और समर्पित RAID एरे जैसे उपकरण भी अब एसिडपौर के प्रभावों के दायरे में हैं।"
हेगेल का कहना है कि एसिडपौर की एक और नई क्षमता एक स्व-डिलीट फ़ंक्शन है जो संक्रमित सिस्टम से मैलवेयर के सभी निशान मिटा देती है। उनका कहना है कि एसिडरेन की तुलना में एसिडपोर एक अपेक्षाकृत अधिक परिष्कृत वाइपर है, जो इसके समग्र ढीलेपन के उदाहरण के रूप में प्रक्रिया फोर्किंग के अत्यधिक उपयोग और कुछ परिचालनों की अनुचित पुनरावृत्ति की ओर इशारा करता है।
सेंटिनलवन ने फरवरी 2022 में एक साइबर हमले के बाद एसिडरेन की खोज की लगभग 10,000 सैटेलाइट मॉडेम को ऑफ़लाइन कर दिया संचार प्रदाता Viasat के KA-SAT नेटवर्क से संबद्ध। हमले ने यूक्रेन में हजारों ग्राहकों और यूरोप में हजारों लोगों के लिए उपभोक्ता ब्रॉडबैंड सेवा को बाधित कर दिया। सेंटिनलवन ने निष्कर्ष निकाला कि मैलवेयर संभवतः सैंडवर्म (उर्फ एपीटी 28, फैंसी बियर और सोफ़ेसी) से जुड़े एक समूह का काम था, जो एक रूसी ऑपरेशन के लिए जिम्मेदार था। असंख्य विघटनकारी साइबर हमले यूक्रेन में।
सेंटिनलवन शोधकर्ताओं ने पहली बार 16 मार्च को नए संस्करण, एसिडपौर को देखा, लेकिन अभी तक किसी को भी वास्तविक हमले में इसका उपयोग करते हुए नहीं देखा है।
सैंडवर्म टाई
वाइपर के उनके प्रारंभिक विश्लेषण से एसिडरेन के साथ कई समानताएं सामने आईं - जिसकी बाद में गहराई से जांच करने पर पुष्टि हुई। सेंटिनलवन ने जिन उल्लेखनीय ओवरलैप्स की खोज की उनमें एसिडपौर द्वारा एसिडरेन के समान रिबूट तंत्र का उपयोग और पुनरावर्ती निर्देशिका-वाइपिंग के लिए समान तर्क शामिल थे।
सेंटिनलवन ने एसिडपौर के आईओसीटीएल-आधारित वाइपिंग तंत्र को एसिडरेन और वीपीएनफिल्टर में वाइपिंग तंत्र के समान पाया। मॉड्यूलर आक्रमण मंच जो अमेरिकी न्याय विभाग के पास है सैंडवॉर्म से जुड़ा हुआ. IOCTL डिवाइस पर विशिष्ट कमांड भेजकर स्टोरेज डिवाइस से डेटा को सुरक्षित रूप से मिटाने या मिटाने का एक तंत्र है।
“एसिडपौर के सबसे दिलचस्प पहलुओं में से एक इसकी कोडिंग शैली है, जो व्यावहारिक की याद दिलाती है कैडीवाइपर उल्लेखनीय मैलवेयर जैसे यूक्रेनी लक्ष्यों के खिलाफ व्यापक रूप से उपयोग किया जाता है उद्योगकर्ता 2, “सेंटिनलवन ने कहा। कैडीवाइपर और इंडस्ट्रॉयर 2 दोनों मैलवेयर हैं जिनका उपयोग रूस समर्थित राज्य समूहों द्वारा यूक्रेन में संगठनों पर विनाशकारी हमलों में किया जाता है, यहां तक कि फरवरी 2022 में देश पर रूस के आक्रमण से पहले भी।
सेंटिनलवन ने कहा कि यूक्रेन के सीईआरटी ने एसिडपोर का विश्लेषण किया है और यूएसी-0165 को जिम्मेदार ठहराया है, जो एक खतरा अभिनेता है जो सैंडवर्म समूह का हिस्सा है।
एसिडपौर और एसिडरेन उन कई वाइपरों में से हैं जिन्हें रूसी अभिनेताओं ने हाल के वर्षों में यूक्रेनी लक्ष्यों के खिलाफ तैनात किया है - और विशेष रूप से दोनों देशों के बीच मौजूदा युद्ध की शुरुआत के बाद। भले ही थ्रेट एक्टर वियासैट हमले में हजारों मॉडेम को ऑफ़लाइन करने में कामयाब रहा, कंपनी मैलवेयर को हटाने के बाद उन्हें पुनर्प्राप्त करने और फिर से तैनात करने में सक्षम थी।
हालाँकि, कई अन्य उदाहरणों में, संगठनों को वाइपर हमले के बाद सिस्टम छोड़ने के लिए मजबूर होना पड़ा है। सबसे उल्लेखनीय उदाहरणों में से एक 2012 है Shamoon सऊदी अरामको पर वाइपर हमले से कंपनी के लगभग 30,000 सिस्टम ख़राब हो गए।
जैसा कि शमून और एसिडरेन के मामले में था, आम तौर पर खतरे वाले अभिनेताओं को प्रभावी होने के लिए वाइपर को परिष्कृत बनाने की आवश्यकता नहीं होती है। ऐसा इसलिए है क्योंकि मैलवेयर का एकमात्र कार्य सिस्टम से डेटा को ओवरराइट करना या हटाना और उन्हें बेकार कर देना है, इसलिए टालमटोल की रणनीति और डेटा चोरी तथा साइबर जासूसी हमलों से जुड़ी अस्पष्ट तकनीकें आवश्यक नहीं हैं।
वाइपर के लिए सबसे अच्छा बचाव - या उनसे होने वाले नुकसान को सीमित करने के लिए - रैंसमवेयर के समान ही बचाव लागू करना है। इसका मतलब है महत्वपूर्ण डेटा के लिए बैकअप रखना और मजबूत घटना प्रतिक्रिया योजनाओं और क्षमताओं को सुनिश्चित करना।
नेटवर्क विभाजन भी महत्वपूर्ण है क्योंकि वाइपर तब अधिक प्रभावी होते हैं जब वे अन्य प्रणालियों में फैलने में सक्षम होते हैं, इसलिए इस प्रकार की रक्षा मुद्रा पार्श्व आंदोलन को विफल करने में मदद करती है।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-releases-more-deadly-variant-of-acidrain-wiper-malware
