काठमाडौं । नेपाली साइबर सुरक्षा कम्पनी भैरव टेकले युरोप, ओसिनिया, अफ्रिका र एसियाका विभिन्न वित्तीय संस्थाहरूलाई लक्षित गर्दै गरिएको उच्च स्तरको फिसिङ आक्रमण पत्ता लगाएको छ । भैरव टेकको सुरक्षा सञ्चालन केन्द्रले मङ्गलबार एक प्रतिवेदन सार्वजनिक गर्दै वित्तीय संस्थाहरूलाई लक्षित गरी विश्वव्यापी रूपमा साइबर आक्रमण मौलाइरहेको खुलासा गरेको हो ।
रिपोर्ट अनुसार, साइबर अपराधीहरूको टोलीले परिष्कृत फिसिङ अभियान सञ्चालन गरी वित्तीय प्रणालीलाई कमजोर बनाउने प्रयास गरिरहेको छ । आक्रमणकारीहरूले मालवेयर प्रयोग गरेर विश्वभरका मान्यताप्राप्त वित्तीय प्लेटफर्महरूमा विश्वास गर्ने प्रयोगकर्ताहरूलाई झुक्याई संवेदनशील जानकारी चोरी गरिरहेका छन् ।
भैरव टेकका अनुसन्धानकर्ताहरूले यो साइबर आक्रमण लजारस समूह (Lazarus Group) ले गरेको अनुमान गरेका छन् । अनुसन्धानअनुसार, लजारस समूहले विशेषगरी वित्तीय संस्थाका कर्मचारीहरूलाई लक्षित गरी सोसाइटी फर वर्ल्डवाइड इन्टरबैंक फाइनान्सियल टेलिकम्युनिकेसन (SWIFT) को नक्कली ईमेल पठाउँदै आएको छ । स्विफ्ट बेल्जियममा आधारित सहकारी संस्था हो, जसले विश्वभर ११ हजारभन्दा बढी संस्थालाई सुरक्षित वित्तीय सन्देश सेवा प्रदान गर्छ ।
यसमा ह्याकरहरूले सबैभन्दा पहिले फिसिङ ईमेललाई वास्तविक जस्तो देखाउन सावधानीपूर्वक तयार गरेका हुन्छन् । ती ईमेलहरूमा स्विफ्ट ग्लोबल सर्भिस प्रयोग गरेकोमा धन्यवाद दिँदै भुक्तानी विवरण समावेश गरिएको हुन्छ । तर, ती ईमेलमा गोप्य रूपमा मालवेयर फाइल लुकाइएको हुन्छ । यस मालवेयरको मुख्य उद्देश्य भनेकै वेब ब्राउजरमा सुरक्षित गरिएका प्रयोगकर्ताका विवरण चोर्नु र आउटलुकमा भण्डारण गरिएका ईमेलहरू सङ्कलन गर्नु हो । यो आक्रमणले बैंकिङ क्षेत्रलाई लक्षित गरी साइबर खतरा बढ्दै गएको देखिएको छ । रिपोर्टमा यसका रोकथामका लागि सुरक्षा उपाय उल्लेख गरिएको छ ।
अपरेसन ‘स्विफ्टफिश’ नाम दिइएको यस रिपोर्टका अनुसार साइबर आक्रमणकारीले पठाएको फिसिङ ईमेलमा एसभिजी (SVG) फाइल राखिएका हुन्छन् । यसले जाभास्क्रिप्ट फाइलसहितको जिप (ZIP) फाइल डाउनलोड गर्छ । र, यो फाइल खुल्नासाथ जाभास्क्रिप्ट फाइलले आफै अमेजन एडब्लुएस (Amazon AWS) क्लाउड स्टोरेजबाट थप खतरनाक फाइलहरू डाउनलोड गर्छ ।
त्यसपछि आक्रमणकारीले एडविन्ड र्याट (Adwind RAT) प्रयोग गर्छन्, जुन एक क्रस-प्लेटफर्म रिमोट एक्सेस ट्रोजन हो । यसले प्रमाण, व्यक्तिगत डेटा र सिस्टमको जानकारी चोर्न सक्छ ।
यसमा मालवेयरले सी२ (C2) सर्भरहरूसँग सुरक्षित कम्युनिकेट गर्न एक्सओआर (XOR) इन्क्रिप्टेड यूआरएल प्रयोग गर्छ । यसले थप सुरक्षा तह प्रदान गर्छ ।
ह्याकरको समूहले थोरै प्रयोगमा आएका तरिका जस्तै हानिकारक फाइल संलग्न गर्ने, पुरानो ईमेल फिल्टरिङ र इन्डपोइन्ट सुरक्षा प्रणालीमा रहेका कमजोरीको फाइदा उठाएको देखिएको छ ।
यो साइबर हमला युरोप, ओसिनिया, अफ्रिका र एसियाका विभिन्न देशहरूमा अत्यधिक मौलाइरहेको प्रतिवेदनमा उल्लेख छ । यसमा इटाली, अस्ट्रिया, हङ्गेरी, मोल्दोभा, सर्बिया, यूएई, जोर्डन, इथियोपिया, नाइजेरिया, साउदी अरेबिया, टर्की, अजरबैजान, भारत, पाकिस्तान, नेपाल, पपुवा न्यु गिनी, दक्षिण कोरिया, फिलिपिन्स, कम्बोडिया जस्ता देश रहेका छन् ।
कसरी हुन्छ आक्रमण ?
आक्रमणको सुरुवात फिसिङ ईमेलबाट हुन्छ, जुन वास्तविक जस्तो देखिने संस्था, स्विफ्ट ग्लोबल सर्भिसको नाममा पठाइन्छ । ईमेलमा भुक्तानी प्रक्रिया पूरा भएको जानकारी दिँदै प्रयोगकर्तालाई आकर्षित गरिन्छ । लजारस समूहले "farmaciafamiliei[.]md" र "financeplus[.]me" जस्ता डोमेनहरू प्रयोग गरी "swiftmyi1@financeplus[.]me" र "swiftgyl1@farmaciafamiliei[.]md" जस्ता ईमेल एड्रेसबाट फिसिङ ईमेल पठाउँछ ।
त्यसपछि मालवेयर संक्रमणको प्रक्रिया सुरु हुन्छ । त्यसका लागि ईमेलमा एउटा एसभीजी फाइल समावेश हुन्छ, जुन भुक्तानी विवरण जस्तो देखिन्छ । यो फाइलमा दुई ओटा लिङ्कहरू हुन्छन्, जसले थप फाइलहरू डाउनलोड गर्न अनुमति दिन्छ ।
फाइल डाउनलोड गरेपछि जिप फाइल प्राप्त हुन्छ, जसमा जाभास्क्रिप्ट फाइल हुन्छ । जाभास्क्रिप्ट फाइलले मालिसियस स्क्रिप्ट स्थापना (इन्स्टल) गर्छ । यसले प्रयोगकर्तालाई नक्कली रसिद देखाउँछ । तर ब्याकग्राउन्डमा मालिसियस (हानिकारक) स्क्रिप्टले प्रयोगकर्ताको डिभाइसलाई कन्ट्रोल गर्छ र थप आक्रमणको लागि आफ्नो बाटो बनाउँछ ।
जाभास्क्रिप्ट फाइल एक्जिक्युट (कार्यान्वयन) हुने बेला विभिन्न प्रक्रिया र फाइलहरू देखिन्छन्, जसमा जाभा-सम्बन्धित धेरै एक्जिक्युटेबल (चलाउन योग्य) (javaw.exe र javapath.exe) समावेश छन् । “Swift Confirmation Copy.jar” नामक जाभा रेकर्ड र “temp_swiftcopy.pdf” नामक पीडीएफ फाइल पनि देखिन्छ । मालवेयरले जाभा रनटाइम इन्भाइरोमेन्ट (JRE) छ कि छैन जाँच गर्छ । यदि छैन भने यसले ‘JRE’ डाउनलोड र इन्स्टल गर्छ । एडविन्ड मालवेयर चलाउन ‘JRE’ आवश्यक हुन्छ ।
जाभास्क्रिप्ट फाइलमा ‘अस्पष्ट गरिएको कोड’ हुन्छ, जसले सुरक्षा उपकरणहरूलाई छल्न मद्दत गर्छ र स्क्रिप्टको वास्तविक कामलाई कार्यान्वयन नहुँदासम्म लुकाउँछ । यसले कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरहरूसँग कनेक्सन स्थापना गर्छ, थप फाइल डाउनलोड गर्छ । र हानिकारक प्रक्रियाहरू कार्यान्वयन गर्छ । यस प्रक्रियामा ‘wscript.exe’ प्रयोग गरिन्छ, जुन जाभास्क्रिप्ट कोड कार्यान्वयन गर्न प्रयोग हुन्छ । स्क्रिप्टले विशेष फोल्डरमा फाइल भण्डारण गर्छ, बेस६४ इन्कोडेड स्ट्रिङलाई डिकोड गर्छ र ‘XML DOM’ अब्जेक्ट प्रयोग गरेर ‘.jar’ फाइलको रूपमा सुरक्षित गर्छ ।
‘.jar’ फाइल एक्जिक्युट इन्कोडिङले ‘.jar’ फाइललाई पत्ता लगाउन गाह्रो बनाउँछ । डिकोड गरेपछि यसलाई ‘javaw.exe’ को माध्यमबाट एक्जिक्युट गरिन्छ । मालवेयरले ‘temp_swiftcopy.pdf’ नामको नक्कली पीडीएफ फाइल सिर्जना गर्छ । ब्याकग्राउन्डमा मालिसियस प्रक्रियाहरू चलिरहँदा प्रयोगकर्तालाई वास्तविक जस्तो देखाउन यो फाइल देखाइन्छ ।
‘.jar’ फाइलले रिमोट कमाण्ड र कन्ट्रोल (C2) सर्भरसँग कनेक्सन स्थापना गर्छ । यसले थप हानिकारक स्क्रिप्टहरू डाउनलोड गर्छ र ‘C2’ इन्फ्रास्ट्रक्चरसँग कम्युनिकेट गर्न ‘XOR-अब्फस्केटेड’ यूआरएल प्रयोग गर्छ । यी यूआरएल रनटाइममा डिक्रिप्ट हुन्छन् । त्यसपछि मालवेयरले नयाँ फाइलहरू सिर्जना गर्छ र तिनीहरूलाई व्यवस्थापन पनि गर्छ । यसले प्रयोगकर्ताको ब्राउजर हिस्ट्री र लगइन प्रमाण चोरी गर्न सक्छ । साथै यो अस्थायी डेटाबेस निर्माण गरेर विभिन्न फाइलमा अपरेसन (जस्तै: लेख्ने, मेट्ने वा संशोधन गर्ने) पनि गर्न सक्छ ।