एक उत्तर कोरियाई हैकिंग समूह एक नए नौकरी भर्ती घोटाले के ज़रिए क्रिप्टोकरेंसी डेवलपर्स को निशाना बना रहा है, जो पीड़ित के सिस्टम में जानकारी चुराने वाला मैलवेयर डाल देता है।
साइबर सुरक्षा फर्म पालो ऑल्टो नेटवर्क्स की यूनिट 42 की एक हालिया रिपोर्ट के अनुसार, यह खतरनाक हैकिंग समूह, जिसे स्लो पिसीस, जेड स्लीट, पुकचोंग, ट्रेडरट्रेटर या यूएनसी4899 जैसे उपनामों से जाना जाता है, लिंक्डइन पर भर्तीकर्ताओं के रूप में खुद को पेश कर रहा है।
संपर्क स्थापित होने के बाद, डेवलपर्स को नकली नौकरी के प्रस्तावों का लालच दिया जाता है, जिसके बाद एक सामान्य कोडिंग टेस्ट होता है।
लेकिन इन GitHub-होस्टेड प्रोजेक्ट्स में एक चोरी करने वाला मैलवेयर टूलकिट छिपा होता है जो चुपचाप पीड़ित के कंप्यूटर को संक्रमित कर देता है।
शुरुआत में, उम्मीदवारों को एक फ़ाइल चलाने के लिए कहा जाता है जो आमतौर पर एक साधारण प्रोग्रामिंग कार्य जैसी दिखती है, लेकिन पीड़ित के सिस्टम पर निष्पादित होने के बाद, यह RN लोडर नामक एक मैलवेयर चलाता है जो सिस्टम की जानकारी हमलावर को वापस भेजता है।
यदि लक्ष्य सफल हो जाता है, तो एक दूसरे चरण का पेलोड, RN स्टीलर, तैनात किया जाता है, जो SSH कुंजियों और iCloud डेटा से लेकर Kubernetes और AWS कॉन्फ़िगरेशन फ़ाइलों तक सब कुछ चुरा सकता है।
इस अभियान को विशेष रूप से खतरनाक बनाने वाली बात इसकी गुप्त प्रकृति है, क्योंकि मैलवेयर केवल कुछ निश्चित परिस्थितियों में ही सक्रिय होता है, जैसे कि IP पता या सिस्टम सेटिंग्स, जिससे शोधकर्ताओं के लिए इसका पता लगाना मुश्किल हो जाता है।
यह पूरी तरह से मेमोरी में भी चलता है, जिससे बहुत कम डिजिटल फ़ुटप्रिंट बचता है।
स्लो पिसिज़ को इस साल की शुरुआत में हुई 1.4 बिलियन डॉलर की बायबिट चोरी सहित कई बड़ी चोरियों से जोड़ा गया है।
इस समूह की रणनीति समय के साथ ज़्यादा नहीं बदली है, जिसके बारे में यूनिट 42 का कहना है कि यह उनके तरीकों की सफलता और लक्षितता के कारण हो सकता है।
यूनिट 42 में थ्रेट इंटेलिजेंस के वरिष्ठ निदेशक एंडी पियाज़ा के अनुसार, “बायबिट हैक से पहले, ओपन सोर्स में इस अभियान के बारे में बहुत कम विस्तृत जानकारी और रिपोर्टिंग थी, इसलिए यह संभव है कि ख़तरा पैदा करने वालों को बदलाव की कोई ज़रूरत महसूस न हुई हो।”
इसके बजाय, शोधकर्ताओं के अनुसार, ख़तरा पैदा करने वालों ने अपनी परिचालन सुरक्षा में भी सुधार किया, और दुर्भावनापूर्ण आदेशों को छिपाने के लिए YAML और जावास्क्रिप्ट टेम्प्लेटिंग ट्रिक्स का इस्तेमाल करते देखे गए।
सुरक्षा शोधकर्ता प्रशील पट्टनी ने कहा, “व्यापक फ़िशिंग अभियानों के बजाय, लिंक्डइन के माध्यम से संपर्क किए गए व्यक्तियों पर ध्यान केंद्रित करने से समूह अभियान के बाद के चरणों को कड़ाई से नियंत्रित कर पाता है और केवल संभावित पीड़ितों को ही पेलोड पहुँचा पाता है।”
उत्तर कोरियाई हैकर आईटी पेशेवरों को निशाना बनाते हैं
उत्तर कोरियाई हैकिंग समूह क्रिप्टो क्षेत्र में कुछ सबसे बड़ी साइबर चोरियों के लिए ज़िम्मेदार रहे हैं।
अरखाम इंटेलिजेंस के आंकड़ों से पता चलता है कि उत्तर कोरिया के लाज़ारस समूह से जुड़े एक वॉलेट में रिपोर्टिंग के समय 80 करोड़ डॉलर से ज़्यादा मूल्य के बिटकॉइन मौजूद थे।
इस महीने की शुरुआत में जारी गूगल थ्रेट इंटेलिजेंस ग्रुप की एक रिपोर्ट में उत्तर कोरियाई आईटी कर्मचारियों द्वारा तकनीकी और क्रिप्टो कंपनियों, खासकर पूरे यूरोप में, में घुसपैठ करने की घटनाओं में तेज़ी देखी गई है।
पिछले साल, इनवेज़ ने बताया था कि सैफायर स्लीट और रूबी स्लीट नाम के दो हैकिंग समूह क्रिप्टो क्षेत्र में भारी नुकसान के लिए ज़िम्मेदार थे।
कुछ बदमाश भर्तीकर्ताओं, निवेशकों और यहाँ तक कि लक्षित कंपनियों के कर्मचारियों का रूप धारण करके शुरुआती सुरक्षा जाँच से बचने और मैलवेयर प्लांट करने की कोशिश करते पाए गए।
सैफायर स्लीट ने क्रिप्टो कंपनियों पर बहुत ज़्यादा ध्यान केंद्रित किया और कथित तौर पर छह महीनों के भीतर उत्तर कोरियाई सरकार को कम से कम 1 करोड़ डॉलर वापस पहुँचाने में कामयाब रहा।
स्रोत: इनवेज़ / डिग्पू न्यूज़टेक्स