2 पॉइंट द्वारा GN⁺ 2023-09-08 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Google TAG द्वारा ट्रैक किए जा रहे उत्तर कोरियाई सरकार-समर्थित माने जाने वाले हमलावर लगातार vulnerability research और development security researchers को निशाना बना रहे हैं, और हालिया अभियान में सक्रिय रूप से exploit किया गया 0-day भी मिला है
  • हमलावर X पर संबंध बनाते हैं, फिर बातचीत को Signal, WhatsApp, Wire पर ले जाते हैं, और भरोसा बनने पर शोधकर्ताओं को लोकप्रिय software package के 0-day वाले malicious files भेजते हैं
  • exploit सफल होने के बाद shellcode virtual machine detection करता है और एकत्रित जानकारी व screenshots को हमलावर-नियंत्रित C2 domain पर भेजता है
  • अलग infection path के रूप में संदिग्ध Windows tool GetSymbol debugging symbol download utility जैसा दिखता है, लेकिन हमलावर-नियंत्रित domain से arbitrary code डाउनलोड कर चला सकता है
  • TAG ने संबंधित domains को Safe Browsing में जोड़ा, लक्षित Gmail·Workspace उपयोगकर्ताओं को government-backed attacker warning भेजी, और Chrome Enhanced Safe Browsing व device updates की सिफारिश की

बार-बार होने वाली सुरक्षा शोधकर्ताओं की targeting

  • Google Threat Analysis Group(TAG) ने जनवरी 2021 में खुलासा किया था कि उत्तर कोरियाई सरकार-समर्थित actor 0-day exploits के जरिए vulnerability research security researchers को निशाना बनाने वाला अभियान चला रहे थे
  • उसके बाद ढाई साल तक TAG ने इसी श्रेणी के अभियानों को लगातार track और block किया और 0-day खोजकर online users की सुरक्षा की
  • हाल में पहचाना गया नया अभियान अपनी पिछली गतिविधियों से समानता के कारण उसी actor का हो सकता है
  • पिछले कुछ हफ्तों में सुरक्षा शोधकर्ताओं पर हमलों में कम-से-कम 1 सक्रिय रूप से exploit किया गया 0-day इस्तेमाल हुआ, और इस vulnerability की सूचना प्रभावित vendor को दे दी गई
  • vendor ने 12 सितंबर 2023 को patch जारी किया, और TAG ने Google की disclosure policy के अनुसार root cause analysis प्रकाशित किया

सोशल संबंध बनाने के बाद malicious file पहुंचाना

  • हमलावर पहले के अभियानों की तरह X जैसी social media services पर लक्षित शोधकर्ताओं से पहले संपर्क करते हैं
    • एक मामले में, साझा रुचियों के आधार पर सुरक्षा शोधकर्ता से कई महीनों तक बातचीत जारी रखकर collaboration की कोशिश की गई
    • X पर शुरू हुई बातचीत को Signal, WhatsApp, Wire जैसे encrypted messengers पर ले जाया गया
  • भरोसा बनने पर हमलावर लोकप्रिय software package के कम-से-कम 1 0-day वाला malicious file भेजते हैं
  • exploit सफल होने पर shellcode कई virtual machine evasion checks करता है
    • इसके बाद यह एकत्रित जानकारी और screenshots को हमलावर-नियंत्रित command-and-control domain पर भेजता है
    • shellcode की बनावट पहले उत्तर कोरियाई exploits में देखे गए shellcode जैसी है

GetSymbol के जरिए संभावित दूसरा infection path

  • हमलावरों ने 0-day targeting से अलग एक standalone Windows tool भी विकसित किया
  • यह tool दावा करता है कि reverse engineers के लिए Microsoft, Google, Mozilla, Citrix symbol servers से debugging symbols डाउनलोड करता है
  • source code पहली बार 30 सितंबर 2022 को GitHub पर प्रकाशित हुआ था, और उसके बाद कई updates जारी किए गए
  • ऊपर से यह कई sources से symbol information तेज़ी से डाउनलोड करने वाली utility जैसा दिखता है
    • Symbols binaries के बारे में अतिरिक्त जानकारी देते हैं, जो software problems की debugging या vulnerability research में मददगार हो सकती है
  • लेकिन इस tool में हमलावर-नियंत्रित domain से arbitrary code डाउनलोड कर execute करने की क्षमता भी शामिल है
  • TAG की सिफारिश है कि यदि इस tool को डाउनलोड किया गया हो या चलाया गया हो, तो यह जांचें कि system ज्ञात clean state में है या नहीं; operating system को दोबारा install करना पड़ सकता है

Google के सुरक्षा उपाय

  • TAG गंभीर threat actors से निपटने के लिए अपने research findings का उपयोग Google products की safety और security बेहतर बनाने में करता है
  • पहचानी गई सभी websites और domains को मिलते ही Safe Browsing में जोड़ दिया जाता है ताकि users को आगे के exploitation से बचाया जा सके
  • लक्षित Gmail और Workspace users को government-backed attacker alerts भेजे जाते हैं
  • संभावित targets को Chrome का Enhanced Safe Browsing चालू करने और सभी devices को updated रखने की सलाह दी जाती है
  • tactics और techniques की समझ जितनी बढ़ेगी, threat hunting capabilities और पूरे industry में user protection भी उतनी मजबूत हो सकेगी

हमलावर-नियंत्रित sites और accounts

1 टिप्पणियां

 
GN⁺ 2023-09-08
Hacker News की रायें
  • GitHub पर getsymbol टूल को 214 स्टार मिले हैं, लेकिन इसके malicious टूल होने का कोई banner बिल्कुल नहीं दिखता
    हाल में खुले issue में Google blog post का लिंक जरूर है, पर बस इतना ही
    अगर GitHub से कोई इसे देख रहा है, तो इस टूल और known backdoor वाले दूसरे software (जैसे forks) पर backdoor warning banner या modal जोड़ने की मैं जोरदार सलाह दूंगा

    • यह इस बात का अच्छा reminder भी है कि GitHub पर डाला गया code भी malicious हो सकता है, और सिर्फ इसलिए उस पर आंख मूंदकर भरोसा नहीं करना चाहिए कि author की रुचियां आपकी जैसी लगती हैं
      मैंने भी कई बार ऐसा किया है :(
    • source code खुद तो अपेक्षाकृत साफ दिखता है, और auto-update feature भी शायद confirmation dialog के पीछे है
      backdoor के binary release या auto-update binary में होने की संभावना कहीं ज्यादा है
      अगर आप खुद compile करके auto-update स्वीकार कर लेते हैं, तो infected हो सकते हैं, और binary 15MB से ज्यादा है, इसलिए छोटा backdoor छिपाने के लिए जरूरत से ज्यादा जगह है
    • getsymbol को star करने वाले accounts का, public होने से पहले के आधार पर analysis करना दिलचस्प हो सकता है
      अगर उनमें दूसरे obscure projects के साथ commonalities हों, तो यह संकेत हो सकता है कि वे accounts puppet accounts हैं
    • लगता है अभी-अभी हटा दिया गया
    • मैंने repository को malware के रूप में report कर दिया है, देखते हैं इसे कैसे handle किया जाता है
  • मुझे हैरानी है कि लोकप्रिय download sites कितनी भरोसेमंद हैं
    उदाहरण के लिए ffmpeg Windows binaries[1] किसी personal site पर host की जाती हैं
    checksums वगैरह verify किए जा सकते हैं, लेकिन फिर भी इसकी guarantee नहीं कि वे किसी specific Git commit से जुड़े हैं
    reproducible या proven builds के बिना, गैर-GitHub/गैर-official hosting downloads को मैं default रूप से nation-state actor जैसा मानने लगता हूं
    क्या मैं paranoid हूं? Linux/Mac package managers इसे कैसे solve करते हैं?
    [1] https://ffmpeg.org/download.html

    • official website पर मौजूद binaries भी, अगर website hack हो जाए और checksums तक बदल दिए जाएं, तो आपको फंसा सकती हैं
      सच में Linux Mint के साथ ऐसा हुआ था
      https://www.trendmicro.com/vinfo/fr/security/news/cybercrime...
    • GitHub पर भरोसा क्यों? GetSymbol टूल को भी वहीं 215 स्टार मिले थे
      अगर issues न देखें, तो यह पूरी तरह normal दिखता है
      https://github.com/dbgsymbol/getsymbol
    • mpv में भी यही समस्या है: https://mpv.io/installation/
      Windows download SourceForge पर "shinchiro" देता है, और MacOS download stolendata.net पर "stolendata" देता है
    • क्या Linux/Mac package managers इसे source से binaries build करके और अपने servers पर host करके solve नहीं करते?
    • इस field का search term/buzzword Reproducible Builds है
      यह अभी भी काफी शुरुआती stage में है
  • यह shocking या नया तो नहीं, लेकिन interesting जरूर है
    सुरक्षा researchers पर 0-day क्यों इस्तेमाल किया गया होगा? मेरा अंदाजा है कि यह फायदे वाला test है
    अगर यह security researcher पर काम कर जाए, तो इसे अच्छी vulnerability मानकर real operations में लगाया जा सकता है, और long term में उस researcher से 1+x 0-days हासिल करने की संभावना भी उन्होंने जोड़ी होगी
    security researcher के नजरिए से भी यह interesting situation है
    अगर आप काफी सावधान रह सकें और काफी बेवकूफ बनने का दिखावा कर सकें, तो fresh attack vectors या 0-days “free में” harvest कर सकते हैं, लेकिन अगर आप खुद को overestimate करें तो तुरंत compromise हो जाएंगे

    • security researchers के पास आम तौर पर ज्यादा 0-days होते हैं
    • या फिर वे बस target के पास मौजूद access permissions के पीछे हो सकते थे
    • यह पक्का इसलिए है क्योंकि North Korea 0-day की market price नहीं देना चाहता था
  • इस टूल में attacker-controlled domain से arbitrary code download करके execute करने की capability भी है
    दूसरे शब्दों में, यह auto-update है
    Big Tech ने जनता को ऐसी dependency स्वीकार करने के लिए conditioning कर दी, या विकल्पों को जबरन खत्म कर दिया; और अब विडंबना यह है कि वही dependent और trusting attitude security researchers तक फैलकर पलटकर काट रहा है
    हममें से कुछ लोगों को शुरू से पता था कि यह attitude कहां ले जाएगा, और हम सब security researchers भी नहीं थे
    हमने बस यह देखा था कि जब किसी को हमारी machines पर कुछ push करके चलाने की अनुमति दी जाती है तो इसके दूसरे negative effects क्या होते हैं, और दोनों बातों को जोड़ दिया था

  • पूरी तरह अनुमान है, लेकिन नया macOS security update अभी आया है और उसमें यह लिखा है
    “Impact: maliciously crafted image को process करने से arbitrary code execution हो सकता है. Apple को ऐसी report की जानकारी है कि इस issue का active exploitation हुआ हो सकता है.”
    https://support.apple.com/en-us/HT213906
    मैं शर्त लगाने वाला आदमी नहीं हूं, लेकिन अंदाजा है कि चर्चा में जो vulnerability है, वह यही है

    • अच्छा है कि आप शर्त लगाने वाले नहीं हैं। लगाते तो हार जाते
      https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zer...
    • iPad/iPhone OS के लिए भी update आया है, और उसमें अतिरिक्त Wallet issue का जिक्र है, इसलिए आखिर में यह संबंधित न भी हो सकता है
      https://support.apple.com/en-us/HT213905
    • अभी-अभी real-world में मिले नए NSO zero-click exploit की घोषणा हुई है, इसलिए शायद वजह वही होने की संभावना ज्यादा है
  • मेरी जिज्ञासा यह है
    इन उत्तर कोरियाई लोगों के पास 0-day खोजने के लिए, व्यावहारिक रूप से ज़रूरी होने के कारण, अनियंत्रित इंटरनेट access होना ही चाहिए, और यह भी साफ़ है कि वे कम से कम English समझते हैं
    फिर वे संयोग से ऐसे media से कैसे नहीं टकराए होंगे जो वे चीज़ें दिखाता है जिन्हें state media छिपाता है?

    • “हमारे गुप्त एजेंट सभी वफ़ादार देशभक्त हैं, और उधर के एजेंट सभी brainwashed बंधक हैं!”
      वास्तविकता में, दूसरी देशों की intelligence agencies की तरह वे भी जाहिर है देशभक्ति देखकर ही लोगों को चुनते होंगे
      यह सवाल कुछ वैसा ही है जैसे यह पूछना कि कोई अमेरिकी intelligence officer, North Korea के बारे में propaganda से आगे की जानकारी पाने के बाद भी, North Korea की बेहतर healthcare coverage, gun massacres से मुक्त schools, और बेहतर garbage management के कारण North Korea क्यों defect नहीं करता
      शायद वे North Korean society के उन पहलुओं को महत्व नहीं देते जो बेहतर दिखते हैं, और यह भी नहीं मानते कि किसी खास situation में वे सचमुच बेहतर हैं
      मुझे North Korean intelligence agencies के अलग होने की कोई खास वजह नहीं दिखती
    • क्या आपको लगता है कि North Korean intelligence agencies Western media की बातों से अनजान हैं?
      शायद वे जानती होंगी
      उन्हें control करने के दूसरे तरीके हैं; carrot है North Korea के अंदर privilege, और stick है सीमा पार करने पर उनके और उनके परिवार के साथ होने वाले परिणाम
    • विकल्प बहुत ज़्यादा नहीं दिखते
      किसी ज़्यादा स्वतंत्र देश में जाना हर North Korean के लिए मुश्किल है, और carrot और stick की वजह से वे hacking बस यूँ ही छोड़ भी नहीं सकते होंगे
      संभव है कि उन पर कड़ी निगरानी रखी जाती हो
      कुछ लोग सचमुच propaganda पर भरोसा भी करते होंगे, और लगता है इन लोगों के साथ काफ़ी अच्छा व्यवहार किया जाता होगा
    • Western propaganda machine North Korea के बारे में जो पागलपन भरी बातें उगलती है, उन्हें देखकर उन्हें उल्टा तसल्ली भी मिल सकती है
      इससे North Korea की गलतियाँ माफ़ नहीं हो जातीं
    • शानदार BBC podcast The Lazarus Heist में North Korean hackers की ज़िंदगी को कुछ हद तक cover किया गया है: https://www.bbc.co.uk/programmes/w13xtvg9/episodes/downloads
      इनके workplace पर कड़ी निगरानी रखी जाती है, और अक्सर इनके परिवारों को लेकर धमकियाँ दी जाती हैं
  • मुझे यह जानने की उत्सुकता है कि कोई security researcher chat में किसी अनजान व्यक्ति से मिला Windows binary चलाने की कितनी संभावना रखता है
    यह तो security की शुरुआती बातों से भी पहले, अब बस common sense जैसा है
    बल्कि लगता है researchers को उस binary से किसी safe environment में खेलने का मौका मिल गया होगा
    attacker ने source code publicly रख दिया था, इसलिए reverse engineering की ज़रूरत भी नहीं रही होगी
    अच्छे blackhats हैं
    वैसे, linked repository में exploit ढूँढकर बताने वाला कोई है? मुझे जानना है यह क्या करता है, लेकिन सारी files खंगालना झंझट लगता है
    मूल article भी वह link दे सकता था, और यह बता सकता था कि इस project को North Korean hackers से जोड़ने का आधार क्या था

    • यह उम्मीद से कहीं ज़्यादा अक्सर होता है
      युवा infosec practitioners को OSCP, eJPT जैसे certifications लेने के लिए encourage किया जाता है, और ऐसे certificate business में अक्सर known boxes को pwn करना पड़ता है
      इसलिए Discord servers पर एक-दूसरे की “मदद” करने की culture बन जाती है, और उस मदद का कुछ हिस्सा binaries या obfuscated source code के रूप में होता है
      लोग उसे penetration testing work laptop पर चलाते हैं
      उस laptop में report-writing server में जाने वाली SSH keys होती हैं, और अंततः compromise होने पर North Korea को अमेरिकी private companies के data और vulnerabilities तक access मिल जाता है
      हो सकता है मैंने सचमुच ऐसा होते देखा हो
    • उन्होंने जिस threat की बात की, वह यह नहीं है
      बात यह थी कि किसी program द्वारा पढ़े जाने वाले document ने 0-day exploit किया, और उन्हें वह document मिला था
    • अगर आप यह पूछ रहे हैं कि इस project को North Korean hackers से जोड़ने का आधार क्या है, तो काफी reasonable अनुमान लगाया जा सकता है कि जब कोई पर्याप्त confidence के साथ attribution करता है लेकिन तरीका disclose नहीं करता, तो वह ऐसे sources या indicators burn नहीं करना चाहता जो आगे भी useful हो सकते हैं
      क्योंकि disclose करने पर वे शायद अब काम के नहीं रहेंगे
    • “threat actors ने malicious files भेजीं जिनमें popular software package के कम से कम एक 0-day शामिल था” का मतलब है कि वह executable file नहीं थी
    • security की शुरुआती सीख का core यह है कि कभी न कभी हर कोई गलती करता है। हर कोई
      अगर security researcher का environment अच्छी तरह designed नहीं है, चाहे budget issue हो या लापरवाही, ऐसी चीज़ सच में होती है, और attacker बहुत जल्दी स्वादिष्ट अंदरूनी हिस्से तक पहुँच सकता है
  • मुझे चिंता है कि researchers ऐसे campaigns का attribution बहुत casually कर देते हैं
    attribution methodology कभी नहीं बताई जाती, लेकिन non-technical लोग हमेशा सबसे ज़्यादा उसी attribution पर ध्यान देते हैं
    इस article को ही देखें तो पहले दो शब्द attributed actor हैं
    लेकिन उसे prove करने का कोई तरीका बिल्कुल नहीं है
    internet पर attribution सचमुच बहुत, बहुत, बहुत कठिन है
    हम यह independently judge नहीं कर सकते कि हम सही थे या गलत, इसलिए यह भी नहीं जानते कि यह कितना कठिन है
    यह सोचना मूर्खता है कि attribution राजनीतिक motives से अलग है

    • Citlab commercial security intelligence पाने के लिए कई private data brokers के साथ काम करता है, और reports में भी अक्सर उनका संदर्भ आता है
      इसी आधार पर मान लेते हैं कि attribution आम तौर पर accurate होता है
      हालांकि एक कदम पीछे हटकर objectively देखें, तो उस intelligence का source privacy-invasive है, इस वजह से यह काफी hypocritical लगता है
  • North Korea की आम आबादी में computing education का level इतना कमजोर होने के बावजूद, यह हैरानी की बात है कि वे ऐसे काम करने लायक पर्याप्त advanced hackers और cybersecurity talent ढूँढ लेते हैं

    • North Korea experts से जो मैंने पढ़ा है, उसके मुताबिक North Korea जानबूझकर बहुत intense तरीके से hackers तैयार करता है
      अगर North Korea में कोई बच्चा math talent दिखाता है तो वह निगरानी में आ जाता है, और अगर पर्याप्त अच्छा हो तो उसे special math school भेज दिया जाता है जहाँ practically बाकी चीज़ें बहुत कम सिखाई जाती हैं
      इसके बाद उसे एकमात्र technical university भेजा जाता है, जहाँ कई वर्षों तक computer programming की intensive पढ़ाई होती है
      standards पार करने पर उसे China भेजा जाता है, और बेहतर internet access का उपयोग करके MMORPG gold theft से लेकर phishing attacks और 0-day hunting तक करवाया जाता है
      दिन में 12 घंटे, लगातार performance pressure, और तंग dormitory life—काफी bleak life लगती है
      यानी Silicon Valley से थोड़ी मिलती-जुलती ;)
    • अमीर या connections वाले North Koreans Western countries और China के कई elite schools में पढ़ते हैं
      यहाँ तक कि सर्वोच्च dictator ने भी Switzerland में middle और high school किया था
    • लगभग पक्का है कि वे आसपास के देशों में से किसी एक के talent pool का इस्तेमाल कर रहे होंगे
  • “मिलते ही सभी confirmed websites और domains को users को आगे के exploitation से बचाने के लिए Safe Browsing में जोड़ा जाता है।”
    Brave browser में dbgsymbol.com पर Safe Browsing warning नहीं दिखती
    warning: vector unknown है

    • Safe Browsing hacking detection के लिए नहीं है, बल्कि Google के लिए users की आसानी से निगरानी करने के लिए है