- Google TAG द्वारा ट्रैक किए जा रहे उत्तर कोरियाई सरकार-समर्थित माने जाने वाले हमलावर लगातार vulnerability research और development security researchers को निशाना बना रहे हैं, और हालिया अभियान में सक्रिय रूप से exploit किया गया 0-day भी मिला है
- हमलावर X पर संबंध बनाते हैं, फिर बातचीत को Signal, WhatsApp, Wire पर ले जाते हैं, और भरोसा बनने पर शोधकर्ताओं को लोकप्रिय software package के 0-day वाले malicious files भेजते हैं
- exploit सफल होने के बाद shellcode virtual machine detection करता है और एकत्रित जानकारी व screenshots को हमलावर-नियंत्रित C2 domain पर भेजता है
- अलग infection path के रूप में संदिग्ध Windows tool GetSymbol debugging symbol download utility जैसा दिखता है, लेकिन हमलावर-नियंत्रित domain से arbitrary code डाउनलोड कर चला सकता है
- TAG ने संबंधित domains को Safe Browsing में जोड़ा, लक्षित Gmail·Workspace उपयोगकर्ताओं को government-backed attacker warning भेजी, और Chrome Enhanced Safe Browsing व device updates की सिफारिश की
बार-बार होने वाली सुरक्षा शोधकर्ताओं की targeting
- Google Threat Analysis Group(TAG) ने जनवरी 2021 में खुलासा किया था कि उत्तर कोरियाई सरकार-समर्थित actor 0-day exploits के जरिए vulnerability research security researchers को निशाना बनाने वाला अभियान चला रहे थे
- उसके बाद ढाई साल तक TAG ने इसी श्रेणी के अभियानों को लगातार track और block किया और 0-day खोजकर online users की सुरक्षा की
- हाल में पहचाना गया नया अभियान अपनी पिछली गतिविधियों से समानता के कारण उसी actor का हो सकता है
- पिछले कुछ हफ्तों में सुरक्षा शोधकर्ताओं पर हमलों में कम-से-कम 1 सक्रिय रूप से exploit किया गया 0-day इस्तेमाल हुआ, और इस vulnerability की सूचना प्रभावित vendor को दे दी गई
- vendor ने 12 सितंबर 2023 को patch जारी किया, और TAG ने Google की disclosure policy के अनुसार root cause analysis प्रकाशित किया
सोशल संबंध बनाने के बाद malicious file पहुंचाना
- हमलावर पहले के अभियानों की तरह X जैसी social media services पर लक्षित शोधकर्ताओं से पहले संपर्क करते हैं
- एक मामले में, साझा रुचियों के आधार पर सुरक्षा शोधकर्ता से कई महीनों तक बातचीत जारी रखकर collaboration की कोशिश की गई
- X पर शुरू हुई बातचीत को Signal, WhatsApp, Wire जैसे encrypted messengers पर ले जाया गया
- भरोसा बनने पर हमलावर लोकप्रिय software package के कम-से-कम 1 0-day वाला malicious file भेजते हैं
- exploit सफल होने पर shellcode कई virtual machine evasion checks करता है
- इसके बाद यह एकत्रित जानकारी और screenshots को हमलावर-नियंत्रित command-and-control domain पर भेजता है
- shellcode की बनावट पहले उत्तर कोरियाई exploits में देखे गए shellcode जैसी है
GetSymbol के जरिए संभावित दूसरा infection path
- हमलावरों ने 0-day targeting से अलग एक standalone Windows tool भी विकसित किया
- यह tool दावा करता है कि reverse engineers के लिए Microsoft, Google, Mozilla, Citrix symbol servers से debugging symbols डाउनलोड करता है
- source code पहली बार 30 सितंबर 2022 को GitHub पर प्रकाशित हुआ था, और उसके बाद कई updates जारी किए गए
- ऊपर से यह कई sources से symbol information तेज़ी से डाउनलोड करने वाली utility जैसा दिखता है
- Symbols binaries के बारे में अतिरिक्त जानकारी देते हैं, जो software problems की debugging या vulnerability research में मददगार हो सकती है
- लेकिन इस tool में हमलावर-नियंत्रित domain से arbitrary code डाउनलोड कर execute करने की क्षमता भी शामिल है
- TAG की सिफारिश है कि यदि इस tool को डाउनलोड किया गया हो या चलाया गया हो, तो यह जांचें कि system ज्ञात clean state में है या नहीं; operating system को दोबारा install करना पड़ सकता है
Google के सुरक्षा उपाय
- TAG गंभीर threat actors से निपटने के लिए अपने research findings का उपयोग Google products की safety और security बेहतर बनाने में करता है
- पहचानी गई सभी websites और domains को मिलते ही Safe Browsing में जोड़ दिया जाता है ताकि users को आगे के exploitation से बचाया जा सके
- लक्षित Gmail और Workspace users को government-backed attacker alerts भेजे जाते हैं
- संभावित targets को Chrome का Enhanced Safe Browsing चालू करने और सभी devices को updated रखने की सलाह दी जाती है
- tactics और techniques की समझ जितनी बढ़ेगी, threat hunting capabilities और पूरे industry में user protection भी उतनी मजबूत हो सकेगी
हमलावर-नियंत्रित sites और accounts
-
GetSymbol
https://github[.]com/dbgsymbol/https://dbgsymbol[.]com- 50869d2a713acf406e160d6cde3b442fafe7cfe1221f936f3f28c4b9650a66e9
- 0eedfd4ab367cc0b6ab804184c315cc9ce2df5062cb2158338818f5fa8c0108e
- 2ee435bdafacfd7c5a9ea7e5f95be9796c4d9f18643ae04dca4510448214c03c
- 5977442321a693717950365446880058cc2585485ea582daa515719c1c21c5bd
-
C2 IPs/Domains
23.106.215[.]105www.blgbeach[.]com
-
X account
-
Wire account
@paul354
-
Mastodon account
1 टिप्पणियां
Hacker News की रायें
GitHub पर getsymbol टूल को 214 स्टार मिले हैं, लेकिन इसके malicious टूल होने का कोई banner बिल्कुल नहीं दिखता
हाल में खुले issue में Google blog post का लिंक जरूर है, पर बस इतना ही
अगर GitHub से कोई इसे देख रहा है, तो इस टूल और known backdoor वाले दूसरे software (जैसे forks) पर backdoor warning banner या modal जोड़ने की मैं जोरदार सलाह दूंगा
मैंने भी कई बार ऐसा किया है :(
backdoor के binary release या auto-update binary में होने की संभावना कहीं ज्यादा है
अगर आप खुद compile करके auto-update स्वीकार कर लेते हैं, तो infected हो सकते हैं, और binary 15MB से ज्यादा है, इसलिए छोटा backdoor छिपाने के लिए जरूरत से ज्यादा जगह है
अगर उनमें दूसरे obscure projects के साथ commonalities हों, तो यह संकेत हो सकता है कि वे accounts puppet accounts हैं
मुझे हैरानी है कि लोकप्रिय download sites कितनी भरोसेमंद हैं
उदाहरण के लिए ffmpeg Windows binaries[1] किसी personal site पर host की जाती हैं
checksums वगैरह verify किए जा सकते हैं, लेकिन फिर भी इसकी guarantee नहीं कि वे किसी specific Git commit से जुड़े हैं
reproducible या proven builds के बिना, गैर-GitHub/गैर-official hosting downloads को मैं default रूप से nation-state actor जैसा मानने लगता हूं
क्या मैं paranoid हूं? Linux/Mac package managers इसे कैसे solve करते हैं?
[1] https://ffmpeg.org/download.html
सच में Linux Mint के साथ ऐसा हुआ था
https://www.trendmicro.com/vinfo/fr/security/news/cybercrime...
अगर issues न देखें, तो यह पूरी तरह normal दिखता है
https://github.com/dbgsymbol/getsymbol
Windows download SourceForge पर "shinchiro" देता है, और MacOS download stolendata.net पर "stolendata" देता है
यह अभी भी काफी शुरुआती stage में है
यह shocking या नया तो नहीं, लेकिन interesting जरूर है
सुरक्षा researchers पर 0-day क्यों इस्तेमाल किया गया होगा? मेरा अंदाजा है कि यह फायदे वाला test है
अगर यह security researcher पर काम कर जाए, तो इसे अच्छी vulnerability मानकर real operations में लगाया जा सकता है, और long term में उस researcher से 1+x 0-days हासिल करने की संभावना भी उन्होंने जोड़ी होगी
security researcher के नजरिए से भी यह interesting situation है
अगर आप काफी सावधान रह सकें और काफी बेवकूफ बनने का दिखावा कर सकें, तो fresh attack vectors या 0-days “free में” harvest कर सकते हैं, लेकिन अगर आप खुद को overestimate करें तो तुरंत compromise हो जाएंगे
इस टूल में attacker-controlled domain से arbitrary code download करके execute करने की capability भी है
दूसरे शब्दों में, यह auto-update है
Big Tech ने जनता को ऐसी dependency स्वीकार करने के लिए conditioning कर दी, या विकल्पों को जबरन खत्म कर दिया; और अब विडंबना यह है कि वही dependent और trusting attitude security researchers तक फैलकर पलटकर काट रहा है
हममें से कुछ लोगों को शुरू से पता था कि यह attitude कहां ले जाएगा, और हम सब security researchers भी नहीं थे
हमने बस यह देखा था कि जब किसी को हमारी machines पर कुछ push करके चलाने की अनुमति दी जाती है तो इसके दूसरे negative effects क्या होते हैं, और दोनों बातों को जोड़ दिया था
पूरी तरह अनुमान है, लेकिन नया macOS security update अभी आया है और उसमें यह लिखा है
“Impact: maliciously crafted image को process करने से arbitrary code execution हो सकता है. Apple को ऐसी report की जानकारी है कि इस issue का active exploitation हुआ हो सकता है.”
https://support.apple.com/en-us/HT213906
मैं शर्त लगाने वाला आदमी नहीं हूं, लेकिन अंदाजा है कि चर्चा में जो vulnerability है, वह यही है
https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zer...
https://support.apple.com/en-us/HT213905
मेरी जिज्ञासा यह है
इन उत्तर कोरियाई लोगों के पास 0-day खोजने के लिए, व्यावहारिक रूप से ज़रूरी होने के कारण, अनियंत्रित इंटरनेट access होना ही चाहिए, और यह भी साफ़ है कि वे कम से कम English समझते हैं
फिर वे संयोग से ऐसे media से कैसे नहीं टकराए होंगे जो वे चीज़ें दिखाता है जिन्हें state media छिपाता है?
वास्तविकता में, दूसरी देशों की intelligence agencies की तरह वे भी जाहिर है देशभक्ति देखकर ही लोगों को चुनते होंगे
यह सवाल कुछ वैसा ही है जैसे यह पूछना कि कोई अमेरिकी intelligence officer, North Korea के बारे में propaganda से आगे की जानकारी पाने के बाद भी, North Korea की बेहतर healthcare coverage, gun massacres से मुक्त schools, और बेहतर garbage management के कारण North Korea क्यों defect नहीं करता
शायद वे North Korean society के उन पहलुओं को महत्व नहीं देते जो बेहतर दिखते हैं, और यह भी नहीं मानते कि किसी खास situation में वे सचमुच बेहतर हैं
मुझे North Korean intelligence agencies के अलग होने की कोई खास वजह नहीं दिखती
शायद वे जानती होंगी
उन्हें control करने के दूसरे तरीके हैं; carrot है North Korea के अंदर privilege, और stick है सीमा पार करने पर उनके और उनके परिवार के साथ होने वाले परिणाम
किसी ज़्यादा स्वतंत्र देश में जाना हर North Korean के लिए मुश्किल है, और carrot और stick की वजह से वे hacking बस यूँ ही छोड़ भी नहीं सकते होंगे
संभव है कि उन पर कड़ी निगरानी रखी जाती हो
कुछ लोग सचमुच propaganda पर भरोसा भी करते होंगे, और लगता है इन लोगों के साथ काफ़ी अच्छा व्यवहार किया जाता होगा
इससे North Korea की गलतियाँ माफ़ नहीं हो जातीं
इनके workplace पर कड़ी निगरानी रखी जाती है, और अक्सर इनके परिवारों को लेकर धमकियाँ दी जाती हैं
मुझे यह जानने की उत्सुकता है कि कोई security researcher chat में किसी अनजान व्यक्ति से मिला Windows binary चलाने की कितनी संभावना रखता है
यह तो security की शुरुआती बातों से भी पहले, अब बस common sense जैसा है
बल्कि लगता है researchers को उस binary से किसी safe environment में खेलने का मौका मिल गया होगा
attacker ने source code publicly रख दिया था, इसलिए reverse engineering की ज़रूरत भी नहीं रही होगी
अच्छे blackhats हैं
वैसे, linked repository में exploit ढूँढकर बताने वाला कोई है? मुझे जानना है यह क्या करता है, लेकिन सारी files खंगालना झंझट लगता है
मूल article भी वह link दे सकता था, और यह बता सकता था कि इस project को North Korean hackers से जोड़ने का आधार क्या था
युवा infosec practitioners को OSCP, eJPT जैसे certifications लेने के लिए encourage किया जाता है, और ऐसे certificate business में अक्सर known boxes को pwn करना पड़ता है
इसलिए Discord servers पर एक-दूसरे की “मदद” करने की culture बन जाती है, और उस मदद का कुछ हिस्सा binaries या obfuscated source code के रूप में होता है
लोग उसे penetration testing work laptop पर चलाते हैं
उस laptop में report-writing server में जाने वाली SSH keys होती हैं, और अंततः compromise होने पर North Korea को अमेरिकी private companies के data और vulnerabilities तक access मिल जाता है
हो सकता है मैंने सचमुच ऐसा होते देखा हो
बात यह थी कि किसी program द्वारा पढ़े जाने वाले document ने 0-day exploit किया, और उन्हें वह document मिला था
क्योंकि disclose करने पर वे शायद अब काम के नहीं रहेंगे
अगर security researcher का environment अच्छी तरह designed नहीं है, चाहे budget issue हो या लापरवाही, ऐसी चीज़ सच में होती है, और attacker बहुत जल्दी स्वादिष्ट अंदरूनी हिस्से तक पहुँच सकता है
मुझे चिंता है कि researchers ऐसे campaigns का attribution बहुत casually कर देते हैं
attribution methodology कभी नहीं बताई जाती, लेकिन non-technical लोग हमेशा सबसे ज़्यादा उसी attribution पर ध्यान देते हैं
इस article को ही देखें तो पहले दो शब्द attributed actor हैं
लेकिन उसे prove करने का कोई तरीका बिल्कुल नहीं है
internet पर attribution सचमुच बहुत, बहुत, बहुत कठिन है
हम यह independently judge नहीं कर सकते कि हम सही थे या गलत, इसलिए यह भी नहीं जानते कि यह कितना कठिन है
यह सोचना मूर्खता है कि attribution राजनीतिक motives से अलग है
इसी आधार पर मान लेते हैं कि attribution आम तौर पर accurate होता है
हालांकि एक कदम पीछे हटकर objectively देखें, तो उस intelligence का source privacy-invasive है, इस वजह से यह काफी hypocritical लगता है
North Korea की आम आबादी में computing education का level इतना कमजोर होने के बावजूद, यह हैरानी की बात है कि वे ऐसे काम करने लायक पर्याप्त advanced hackers और cybersecurity talent ढूँढ लेते हैं
अगर North Korea में कोई बच्चा math talent दिखाता है तो वह निगरानी में आ जाता है, और अगर पर्याप्त अच्छा हो तो उसे special math school भेज दिया जाता है जहाँ practically बाकी चीज़ें बहुत कम सिखाई जाती हैं
इसके बाद उसे एकमात्र technical university भेजा जाता है, जहाँ कई वर्षों तक computer programming की intensive पढ़ाई होती है
standards पार करने पर उसे China भेजा जाता है, और बेहतर internet access का उपयोग करके MMORPG gold theft से लेकर phishing attacks और 0-day hunting तक करवाया जाता है
दिन में 12 घंटे, लगातार performance pressure, और तंग dormitory life—काफी bleak life लगती है
यानी Silicon Valley से थोड़ी मिलती-जुलती ;)
यहाँ तक कि सर्वोच्च dictator ने भी Switzerland में middle और high school किया था
“मिलते ही सभी confirmed websites और domains को users को आगे के exploitation से बचाने के लिए Safe Browsing में जोड़ा जाता है।”
Brave browser में dbgsymbol.com पर Safe Browsing warning नहीं दिखती
warning: vector unknown है