बीजिंग (एएनआई): चीनी हैकर्स नेटवर्किंग उपकरणों में शून्य-दिन की कमजोरियों का फायदा उठा रहे हैं, इसके बाद कस्टम इम्प्लांट्स की स्थापना की जा रही है, द हैकर न्यूज ने बताया।
एक संदिग्ध चीन-नेक्सस थ्रेट एक्टर ने हाल ही में फोर्टिनेट फोर्टियोस एसएसएल-वीपीएन में एक यूरोपीय सरकार इकाई और अफ्रीका में स्थित एक प्रबंधित सेवा प्रदाता (एमएसपी) को निशाना बनाते हुए जीरो-डे हमले के रूप में भेद्यता का फायदा उठाया।
द हैकर न्यूज की रिपोर्ट के अनुसार, मैंडिएंट के नवीनतम निष्कर्षों से संकेत मिलता है कि खतरे का अभिनेता अपने लाभ के लिए शून्य-दिन के रूप में भेद्यता का दुरुपयोग करने और जासूसी संचालन के लिए लक्षित नेटवर्क का उल्लंघन करने में कामयाब रहा।
"नेटवर्किंग उपकरणों में शून्य-दिन की कमजोरियों का शोषण, इसके बाद कस्टम इम्प्लांट्स की स्थापना, नेटवर्किंग उपकरणों के पिछले चीनी शोषण के अनुरूप है," मैंडियंट ने कहा।
Google के स्वामित्व वाले मैंडिएंट द्वारा एकत्र किए गए टेलीमेट्री साक्ष्य इंगित करते हैं कि शोषण अक्टूबर 2022 की शुरुआत में हुआ था, फिक्स जारी होने से कम से कम दो महीने पहले।
मैंडिएंट के शोधकर्ताओं ने एक तकनीकी रिपोर्ट में कहा, "यह घटना इंटरनेट-फेसिंग उपकरणों के शोषण के चीन के पैटर्न को जारी रखती है, विशेष रूप से प्रबंधित सुरक्षा उद्देश्यों (जैसे, फायरवॉल, आईपीएस \ आईडीएस उपकरण, आदि) के लिए उपयोग की जाती है।"
द हैकर न्यूज की रिपोर्ट के अनुसार, हमलों में बोल्डमूव नामक एक परिष्कृत पिछले दरवाजे का उपयोग शामिल था, जिसका एक लिनक्स संस्करण विशेष रूप से फोर्टिनेट के फोर्टिगेट फायरवॉल पर चलने के लिए डिज़ाइन किया गया है।
प्रश्न में घुसपैठ वेक्टर CVE-2022-42475 के शोषण से संबंधित है, FortiOS SSL-VPN में एक हीप-आधारित बफर ओवरफ्लो भेद्यता जिसके परिणामस्वरूप विशेष रूप से तैयार किए गए अनुरोधों के माध्यम से अप्रमाणित रिमोट कोड निष्पादन हो सकता है।
इस महीने की शुरुआत में, फोर्टिनेट ने खुलासा किया कि अज्ञात हैकिंग समूहों ने एक जेनेरिक लिनक्स इम्प्लांट के साथ सरकारों और अन्य बड़े संगठनों को लक्षित करने की कमी को भुनाया है, जो एक रिमोट सर्वर द्वारा भेजे गए अतिरिक्त पेलोड और कमांड को निष्पादित करने में सक्षम है, द हैकर न्यूज ने रिपोर्ट किया।
थ्रेट इंटेलिजेंस फर्म मैंडिएंट ने कहा, "बोल्डमूव के साथ, हमलावरों ने न केवल एक शोषण विकसित किया, बल्कि मैलवेयर भी विकसित किया, जो सिस्टम, सेवाओं, लॉगिंग और गैर-दस्तावेजी मालिकाना प्रारूपों की गहन समझ दिखाता है।"
सी में लिखे गए मैलवेयर के बारे में कहा जाता है कि इसमें विंडोज और लिनक्स दोनों फ्लेवर हैं, बाद में फोर्टिनेट के स्वामित्व वाले फ़ाइल प्रारूप से डेटा पढ़ने में सक्षम है। पिछले दरवाजे के विंडोज वेरिएंट के मेटाडेटा विश्लेषण से पता चलता है कि उन्हें 2021 तक संकलित किया गया था, हालांकि जंगली में कोई नमूने नहीं पाए गए हैं, द हैकर न्यूज ने बताया।
BOLDMOVE को सिस्टम सर्वेक्षण करने के लिए डिज़ाइन किया गया है और कमांड-एंड-कंट्रोल (C2) सर्वर से कमांड प्राप्त करने में सक्षम है जो बदले में हमलावरों को फ़ाइल संचालन करने, रिमोट शेल उत्पन्न करने और संक्रमित होस्ट के माध्यम से ट्रैफ़िक रिले करने की अनुमति देता है।
फोर्टिनेट की रिपोर्ट की पुष्टि करते हुए, पता लगाने से बचने के प्रयास में लॉगिंग सुविधाओं को अक्षम और हेरफेर करने के लिए मैलवेयर का एक विस्तारित लिनक्स नमूना अतिरिक्त सुविधाओं के साथ आता है।
"ज़ीरो-डे" एक व्यापक शब्द है जो हाल ही में खोजी गई सुरक्षा कमजोरियों का वर्णन करता है जिसका उपयोग हैकर सिस्टम पर हमला करने के लिए कर सकते हैं। शब्द "शून्य-दिन" इस तथ्य को संदर्भित करता है कि विक्रेता या डेवलपर ने केवल दोष के बारे में सीखा है - जिसका अर्थ है कि इसे ठीक करने के लिए उनके पास "शून्य दिन" हैं। एक शून्य-दिन का हमला तब होता है जब डेवलपर्स को इसे संबोधित करने का मौका मिलने से पहले हैकर्स खामियों का फायदा उठाते हैं।
सॉफ़्टवेयर में अक्सर सुरक्षा भेद्यताएँ होती हैं जिनका उपयोग हैकर्स तबाही मचाने के लिए कर सकते हैं। सॉफ़्टवेयर डेवलपर हमेशा "पैच" करने के लिए कमजोरियों की तलाश में रहते हैं - यानी, एक समाधान विकसित करें जिसे वे एक नए अपडेट में रिलीज़ करें।
हालाँकि, कभी-कभी हैकर्स या दुर्भावनापूर्ण अभिनेता सॉफ़्टवेयर डेवलपर्स के सामने भेद्यता का पता लगाते हैं। जबकि भेद्यता अभी भी खुली है, हमलावर इसका लाभ उठाने के लिए कोड लिख और लागू कर सकते हैं। इसे शोषण कोड के रूप में जाना जाता है।
शोषण कोड सॉफ्टवेयर उपयोगकर्ताओं को शिकार बना सकता है - उदाहरण के लिए, पहचान की चोरी या साइबर अपराध के अन्य रूपों के माध्यम से। (एएनआई)