एक साइबर-जासूसी समूहः स्ट्रोंटियम से निपटना
- माइक्रोसॉफ्ट ने कहा कि उसने एक रूसी राष्ट्र-राज्य हैकिंग समूह से साइबर हमले को बाधित किया है।
- सॉफ्टवेयर कंपनी द्वारा 'स्ट्रोंटियम' नामक समूह ने यूएस और यूरोपीय संघ में यूक्रेनी फर्मों, मीडिया संगठनों, सरकारी निकायों और विचार मंचों को लक्षित किया।
स्ट्रोंटियम क्या है?
- स्ट्रोंटियम उर्फ फैंसी बेयर, ज़ार टीम, पॉन स्टॉर्म, सोफ़ेसी, सेडनिट या एडवांस्ड पर्सिस्टेंट थ्रेट 28 (APT28) समूह, एक अत्यधिक सक्रिय और विपुल साइबर-जासूसी समूह है।
- यह सबसे सक्रिय APT समूहों में से एक है और कम से कम 2000 के दशक के मध्य से काम कर रहा है, जिससे यह दुनिया के सबसे पुराने साइबर-जासूस समूहों में से एक बन गया है।
- यह जासूसी संचालन करने के लिए अत्यधिक परिष्कृत उपकरण, और अमेरिका, यूरोप, मध्य एशिया और पश्चिम एशिया में लक्ष्य पर हमला कर रहा है।
- समूह को रूसी सशस्त्र बलों की मुख्य सैन्य खुफिया शाखा GRU से जुड़ा बताया जाता है।
- माना जाता है कि GRU की साइबर इकाइयाँ वर्षों से कई साइबर हमलों के लिए जिम्मेदार रही हैं और इसकी इकाई 26165 की पहचान फैंसी बेयर के रूप में की गई है।
यह नेटवर्क पर कैसे हमला करता है?
- समूह नेटवर्क में प्रवेश करने के लिए विविध मैलवेयर और उपकरण तैनात करता है।
- अतीत में, इसने लक्ष्य पर हमला करने के लिए X-टनल, SPLM (या चॉपस्टिक और X-एजेंट), गेमफिश और ज़ेब्रोसी का इस्तेमाल किया है।
- इन उपकरणों को स्थानिक पासवर्ड तक पहुंचने के लिए सिस्टम ड्राइवरों में हुक के रूप में उपयोग किया जा सकता है, और कीस्ट्रोक, माउस आंदोलनों को ट्रैक कर सकते हैं, और वेबकैम और USB ड्राइव को नियंत्रित कर सकते हैं।
- यूके नेशनल साइबर सिक्योरिटी सेंटर (NCSC) की एक रिपोर्ट के मुताबिक, वे स्थानीय फाइलों को खोज और बदल सकते हैं और नेटवर्क से जुड़े रह सकते हैं।
- APT28 विशिष्ट व्यक्तियों और संगठनों को लक्षित करने के लिए स्पीयर-फ़िशिंग (किसी व्यक्ति के खाते तक पहुँच प्राप्त करने के लिए लक्षित अभियान) और शून्य-दिन के उपयोगों (अज्ञात कंप्यूटर-सॉफ़्टवेयर कमजोरियों का लाभ उठाते हुए) का उपयोग करता है।
- इसने खाता क्रेडेंशियल, संवेदनशील संचार और दस्तावेज़ जैसी जानकारी चुराने के लिए स्पीयर-फ़िशिंग और कभी-कभी वॉटर-होलिंग का उपयोग किया है।
- वाटरिंग होल अटैक उस साइट से समझौता करता है जिस पर लक्षित पीड़ित पीड़ित के कंप्यूटर और नेटवर्क तक पहुंच प्राप्त करने के लिए जाता है।
- उच्च मात्रा के हमलों के लिए, इसने ज़ेब्रोसी का उपयोग किया है, जिसे मुख्य रूप से स्पीयर-फ़िशिंग ईमेल के माध्यम से भी तैनात किया जाता है।
- फैंसी बेयर ने दुनिया भर में सैकड़ों हजारों राउटर और नेटवर्क-एक्सेस स्टोरेज डिवाइस को लक्षित करने के लिए VPNफिल्टर मैलवेयर का भी उपयोग किया है।
- अभी हाल ही में, NSA और फेडरल ब्यूरो ऑफ इन्वेस्टिगेशन (FBI) द्वारा जारी एक साइबर सुरक्षा सलाहकार ने उल्लेख किया कि APT28 ने ड्रोवोरब नामक एक मैलवेयर तैनात किया, जिसे लाइनक्स सिस्टम के लिए डिज़ाइन किया गया था।
- जब लक्ष्यित मशीन पर तैनात किया जाता है, तो यह फ़ाइल डाउनलोड और अपलोड करने की क्षमता प्रदान करता है; मनमाने आदेशों का निष्पादन; और पता लगाने से बचने के लिए छिपाने की तकनीकों को लागू करता है।
किन संगठनों को निशाना बनाया गया है?
- 2016 के अमेरिकी राष्ट्रपति चुनाव के दौरान डेमोक्रेटिक नेशनल कमेटी (DNC) हैक, वैश्विक टेलीविजन नेटवर्क TV5Monde साइबर हमले, विश्व डोपिंग रोधी एजेंसी (WADA) ईमेल लीक, और कई अन्य हाई-प्रोफाइल उल्लंघनों को APT28 का काम कहा जाता है।
- DNC को कथित तौर पर फैंसी बेयर द्वारा हैक किया गया था, और साइबर हमले के दौरान चोरी हुए ईमेल सहित दस्तावेज़ ऑनलाइन प्रकाशित किए गए थे।
- 2015 में, जर्मन संघीय संसद, बुंडेस्टाग पर कथित तौर पर फैंसी बियर द्वारा हमला किया गया था।
- हमले के दौरान, डेटा चोरी हो गया और कई सांसदों के साथ-साथ तत्कालीन चांसलर एंजेला मर्केल के ईमेल खाते प्रभावित हुए।
- बाद में, यूके स्थित एक छोटे से टीवी स्टेशन से संबंधित कई ईमेल खातों से सामग्री तक पहुंचने और चोरी करने के लिए एक ही समूह जिम्मेदार था।
सरकारों और सुरक्षा एजेंसियों की क्या प्रतिक्रिया है?
- यूके में, सरकार दो रूसी GRU अधिकारियों और जर्मनी की संसद पर 2015 साइबर हमले के लिए जिम्मेदार GRU की इकाई 26165 के खिलाफ संपत्ति फ्रीज और यात्रा प्रतिबंध लागू करेगी।
- इसके अलावा, देश के NCSC ने समूह की गतिविधियों के खिलाफ सुरक्षा के लिए शमन दिशानिर्देशों के साथ-साथ प्लेटफॉर्म और नेटवर्क पर APT28 द्वारा उपयोग किए जाने वाले उपकरणों की उपस्थिति का पता लगाने में सहायता के लिए एक विस्तृत तकनीकी सलाह जारी की थी।