रेड मेन्शेन जासूसी अभियान
चीन से जुड़े एक आतंकवादी संगठन द्वारा चलाया जा रहा एक सुनियोजित और बेहद रणनीतिक साइबर जासूसी अभियान दूरसंचार नेटवर्क में सफलतापूर्वक घुसपैठ कर चुका है। इसका प्राथमिक उद्देश्य दूरसंचार माध्यमों का उपयोग करके सरकारी बुनियादी ढांचे की निगरानी करना और उसमें घुसपैठ करना है।
इस लंबे समय से चल रहे अभियान का श्रेय रेड मेन्शेन नामक खतरे के समूह को दिया जाता है, जिसे अर्थ ब्लूक्रॉ, डेसिसिवआर्किटेक्ट और रेड देव 18 जैसे उपनामों से भी ट्रैक किया जाता है। कम से कम 2021 से, समूह लगातार मध्य पूर्व और एशिया भर में दूरसंचार प्रदाताओं को निशाना बना रहा है, और महत्वपूर्ण प्रणालियों के भीतर गहरी और गुप्त पहुंच स्थापित कर रहा है।
विषयसूची
डिजिटल स्लीपर सेल: उन्नत निरंतरता तकनीकें
सुरक्षा शोधकर्ताओं ने इस अभियान में इस्तेमाल किए गए एक्सेस तंत्रों को दूरसंचार नेटवर्क में अब तक देखे गए सबसे गुप्त तंत्रों में से एक बताया है। ये तकनीकें डिजिटल स्लीपर सेल की तरह काम करती हैं, जो सक्रिय होने तक निष्क्रिय और अदृश्य रहती हैं।
हमलावर अत्याधुनिक उपकरणों और तकनीकों के संयोजन पर निर्भर करते हैं, जिनमें शामिल हैं:
- कर्नेल-स्तर के इम्प्लांट जो ऑपरेटिंग सिस्टम के भीतर गहराई से काम करते हैं
- निष्क्रिय बैकडोर जो पारंपरिक पहचान विधियों से बचते हैं
- संवेदनशील एक्सेस डेटा एकत्र करने के लिए क्रेडेंशियल-हार्वेस्टिंग यूटिलिटीज
- लचीले संचालन को सक्षम बनाने वाले क्रॉस-प्लेटफ़ॉर्म कमांड और नियंत्रण फ्रेमवर्क
ये क्षमताएं हमलावर को पता चलने योग्य गतिविधि को कम करते हुए दीर्घकालिक निरंतरता बनाए रखने की अनुमति देती हैं।
BPFDoor: कर्नेल में अदृश्य बैकडोर
इस अभियान के केंद्र मेंबीपीएफडोर है, जो लिनक्स-आधारित एक बैकडोर है और अपनी गोपनीयता और परिष्कार का उत्कृष्ट उदाहरण प्रस्तुत करता है। पारंपरिक मैलवेयर के विपरीत, यह इम्प्लांट किसी भी प्रकार के नेटवर्क संकेतक उत्पन्न नहीं करता है।
पोर्ट खोलने या दृश्यमान संचार चैनल बनाए रखने के बजाय, BPFDoor लिनक्स कर्नेल के भीतर बर्कले पैकेट फ़िल्टर (BPF) की कार्यक्षमता का उपयोग करता है। यह आंतरिक रूप से नेटवर्क ट्रैफ़िक का निरीक्षण करता है और केवल तभी सक्रिय होता है जब इसे एक विशेष रूप से तैयार किया गया 'मैजिक' पैकेट प्राप्त होता है।
यह डिज़ाइन निरंतर निगरानी करने वाले श्रोताओं या बीकनिंग गतिविधि की आवश्यकता को समाप्त कर देता है, जिससे प्रभावी रूप से एक गुप्त पहुँच तंत्र सीधे ऑपरेटिंग सिस्टम में समाहित हो जाता है। इसका परिणाम एक लगभग अदृश्य प्रवेश बिंदु है जिसे पारंपरिक निगरानी उपकरणों के माध्यम से पता लगाना अत्यंत कठिन है।
प्रारंभिक समझौता: एज इंफ्रास्ट्रक्चर का शोषण
हमले की शुरुआत आम तौर पर इंटरनेट से जुड़े सिस्टम और एज डिवाइस को निशाना बनाकर की जाती है। इनमें वीपीएन गेटवे, फ़ायरवॉल और वेब-आधारित सेवाएं शामिल हैं, विशेष रूप से वे जो प्रमुख उद्यम प्रौद्योगिकियों से जुड़ी हैं।
एक बार प्रारंभिक पहुँच प्राप्त हो जाने के बाद, हमलावर अपने नियंत्रण को बढ़ाने के लिए कई तरह के शोषणकारी उपकरणों का उपयोग करते हैं। इनमें क्रॉससी2 जैसे फ्रेमवर्क, स्लीवर, टाइनीशेल, कीलॉगर और ब्रूट-फोर्स यूटिलिटी शामिल हैं। ये सभी उपकरण मिलकर क्रेडेंशियल इकट्ठा करने, आंतरिक जासूसी करने और समझौता किए गए वातावरण में पार्श्व आवागमन को सक्षम बनाते हैं।
दोहरे घटक वास्तुकला: नियंत्रण और सक्रियण
BPFDoor सटीकता और गोपनीयता के लिए डिज़ाइन किए गए दो-भाग वाले आर्किटेक्चर के माध्यम से काम करता है। एक घटक प्रभावित सिस्टम पर रहता है, जो पूर्वनिर्धारित ट्रिगर पैकेट के लिए आने वाले ट्रैफ़िक की निष्क्रिय रूप से निगरानी करता है। पता चलने पर, यह एक रिमोट शेल बनाकर सक्रिय हो जाता है।
दूसरा घटक हमलावर द्वारा संचालित एक नियंत्रक है। यह नियंत्रक इम्प्लांट को सक्रिय करने के लिए विशेष रूप से तैयार किए गए पैकेट भेजता है और पीड़ित के वातावरण में भी कार्य कर सकता है। आंतरिक रूप से तैनात किए जाने पर, यह स्वयं को वैध सिस्टम प्रक्रियाओं के रूप में छुपा सकता है, अतिरिक्त संक्रमणों का समन्वय कर सकता है और सिस्टमों के बीच नियंत्रित पार्श्व गति को सुगम बना सकता है।
दूरसंचार स्तर की निगरानी: पारंपरिक बैकडोर से परे
BPFDoor के कुछ वेरिएंट मानक बैकडोर कार्यक्षमता से कहीं अधिक क्षमताएं प्रदर्शित करते हैं। स्ट्रीम कंट्रोल ट्रांसमिशन प्रोटोकॉल (SCTP) के लिए समर्थन दूरसंचार-विशिष्ट संचार की निगरानी को सक्षम बनाता है।
इस क्षमता की मदद से हमलावर ग्राहक गतिविधि की जानकारी प्राप्त कर सकते हैं, उपयोगकर्ता व्यवहार पर नज़र रख सकते हैं और संभावित रूप से संदिग्ध व्यक्तियों के भौतिक स्थानों का पता लगा सकते हैं। परिणामस्वरूप, BPFDoor दूरसंचार अवसंरचना में अंतर्निहित एक निगरानी परत के रूप में प्रभावी रूप से कार्य करता है, जो संवेदनशील गतिविधियों में दीर्घकालिक, निर्बाध दृश्यता प्रदान करता है।
बचाव का नया रूप: नए प्रकार और गुप्तता में सुधार
बीपीएफडोर के एक नए पहचाने गए वेरिएंट में ऐसे वास्तुशिल्पीय सुधार किए गए हैं जो सुरक्षा और स्थायित्व को बढ़ाने के लिए डिज़ाइन किए गए हैं। प्रमुख सुधारों में शामिल हैं:
- वैध प्रतीत होने वाले HTTPS ट्रैफ़िक के भीतर ट्रिगर पैकेटों को छिपाना
- विश्वसनीय सक्रियण पहचान के लिए एक निश्चित बाइट ऑफ़सेट मार्कर ('9999') लागू करना
- संक्रमित मेजबानों के बीच कम प्रोफ़ाइल इंटरैक्शन के लिए ICMP-आधारित संचार का परिचय।
ये तकनीकें दुर्भावनापूर्ण ट्रैफ़िक को सामान्य नेटवर्क गतिविधि के साथ सहजता से घुलमिल जाने की अनुमति देती हैं, जिससे विश्वसनीय कमांड निष्पादन को बनाए रखते हुए पता लगने की संभावना काफी कम हो जाती है।
विकसित होती व्यापार कला: स्टैक में और गहराई से
यह अभियान हमलावरों की कार्यप्रणाली में एक व्यापक बदलाव को उजागर करता है। उपयोगकर्ता-क्षेत्र मैलवेयर पर पूरी तरह निर्भर रहने के बजाय, विरोधी तेजी से कंप्यूटिंग स्टैक के भीतर, विशेष रूप से कर्नेल और बुनियादी ढांचे के स्तर पर, इम्प्लांट्स को गहराई से स्थापित कर रहे हैं।
दूरसंचार क्षेत्र अपनी जटिलता के कारण विशेष रूप से आकर्षक लक्ष्य होते हैं, जिनमें बेयर-मेटल सिस्टम, वर्चुअलाइजेशन लेयर्स, उच्च-प्रदर्शन नेटवर्किंग हार्डवेयर और कंटेनरीकृत 4G/5G कोर घटक शामिल होते हैं। वैध सेवाओं और रनटाइम वातावरणों के साथ एकीकृत होकर, ये घुसपैठ पारंपरिक एंडपॉइंट सुरक्षा प्रणालियों से बच सकती हैं और लंबे समय तक बिना पता चले बनी रह सकती हैं।
निष्कर्ष: साइबर जासूसी में एक नया आयाम
यह अभियान साइबर जासूसी की रणनीति में एक महत्वपूर्ण विकास को दर्शाता है। दूरसंचार अवसंरचना और कर्नेल-स्तरीय गुप्त तंत्रों का लाभ उठाकर, हमलावर अत्यंत संवेदनशील वातावरणों तक दीर्घकालिक, गुप्त पहुंच प्राप्त कर लेते हैं।
बीपीएफडोर जैसे उन्नत उपकरणों का उपयोग, नवीन बचाव तकनीकों और गहन सिस्टम एकीकरण के संयोजन से सुरक्षाकर्मियों के लिए बढ़ती चुनौती का संकेत मिलता है। ऐसे खतरों का पता लगाने और उन्हें कम करने के लिए कंप्यूटिंग स्टैक की निचली परतों में बेहतर दृश्यता और पारंपरिक सुरक्षा दृष्टिकोणों पर पुनर्विचार आवश्यक है।
