चीन एक बार फिर से तिब्बती लोगों को साइबर हमले के जरिए टारगेट कर रहा है। सिक्योरिटी फर्म Proofpoint के रिसर्चर्स ने चीनी सरकार से जुड़े हैकर्स ग्रुप द्वारा बनाए Follina नाम के Microsoft Office वायरस का पता लगाया है। हैकर्स के ग्रुप TA413 के द्वारा इस वायरस का इस्तेमाल अपने ही देश से बाहर रहने के लिए विवश तिब्बती शरणार्थियों को टारगेट किया जा रहा है। Also Read - Internet Explorer के बाद अब Google की ये पॉपुलर सर्विस हो गई बंद, यूजर्स को लगा झटका
सिक्योरिटी फर्म Proofpoint के थ्रेट एनालिसिस रिसर्च में पता चला है कि ये हैकर्स चीनी सरकार से संबंध रखते हैं। Proofpoint के ट्विटर हैंडल से शेयर की गई जानकारी के मुताबिक, हैकर्स ने TA413 को लेबल करके वर्ड डॉक्युमेंट्स में Follina वायरस के जरिए गड़बड़ी की है। यह वर्ड डॉक्युमेंट भारत में रहने वाले तिब्बती शरणार्थियों को सेंट्रल तिब्बत एडमिनिस्ट्रेशन के जरिए भेजा गया। Also Read - Internet Explorer रिटायर, 27 साल की सर्विस के बाद Microsoft ब्राउजर हो रहा बंद
सिक्योरिटी रिसर्चर्स का मानना है कि TA413 ग्रुप एक APT (Advanced Persistent Threat) एक्टर है, जो चीनी सरकार से ताल्लुक रखता है। पहले भी यह ग्रुप तिब्बती शरणार्थियों को टारगेट कर चुका है। भारत के हिमाचल प्रदेश के धर्मशाला जिले में रहने वाले तिब्बती शरणार्थियों को चीनी हैकर्स मुख्य तौर पर निशाना बना रहे हैं। Also Read - Microsoft लाने वाला है फोल्डेबल डिस्प्ले, 360 डिग्री तक हो जाएगा टर्न
पहले भी कर चुके हैं टारगेट
चीनी हैकर्स का पहले भी तिब्बती लोगों को साइबर अटैक के जरिए टारगेट करने का इतिहास रहा है। रिसर्चर केविन ब्यूमोन्ट ने अपने ब्लॉग पोस्ट के जरिए इस वायरस की डिटेल शेयर की है। यह वायरस माइक्रोसॉफ्ट ऑफिस (MS Office) के डायग्नोस्टिक टूल को बाईपास करके फाइल यानी दस्तावेज को नुकसान पहुंचाने में सक्षम है।
2019 में सिक्योरिटी फर्म Citizen Lab द्वारा पब्लिश एक रिपोर्ट के मुताबिक, चीनी हैकर्स के ग्रुप ने भारत में रह रहे तिब्बती नेताओं को स्पाइवेयर के जरिए टारगेट किया था। नेताओं को WhatsApp मैसेज के जरिए इस स्पाइवेयर का लिंक भेजा जा रहा था। यही नहीं, सिक्योरिटी रिसर्चर्स का मानना है कि चीनी हैकर्स तिब्बती शरणार्थियों पर नजर रखने के लिए ब्राउजर एक्सटेंशन का भी इस्तेमाल कर रहे हैं। Proofpoint ने Firefox Add-on के तौर पर आने वाले ऐसे कई मलिशियस (Malicious) ब्राउजर एक्सटेंशन को लिस्ट किया है।
Interesting maldoc was submitted from Belarus. It uses Word’s external link to load the HTML and then uses the “ms-msdt” scheme to execute PowerShell code.https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt
— nao_sec (@nao_sec) May 27, 2022
रिपोर्ट के मुताबिक, Microsoft Word की यह गड़बड़ी 27 मई को तब सामने आई जब Nao Sec रिसर्च ग्रुप ने ट्विटर पर ऑनलाइन मेलवेयर स्कैनिंग सर्विस वायरस टोटल (Virus Total) की एक फाइंडिंग पर चर्चा करने के लिए पोस्ट किया।
Nao Sac के ट्वीट में यह Malicious कोड फ्लैग किया गया जिसे Microsoft Word डॉक्यूमेंट्स के जरिए भेजा रहा था। यह PowerShell के जरिए कमांड एक्जीक्यूट कर रहा था। Windows डिवाइसेज के लिए यह एक पावरफुल सिस्टम एडमिनिस्ट्रेशन टूल है।
माइक्रोसॉफ्ट ने यूजर्स को दी सलाह
Microsoft Word की इस गड़बड़ी पर कंपनी ने अपने सिक्योरिटी रिस्पॉन्स ब्लॉग में अटैकर्स द्वारा प्रोग्राम इंस्टॉल करने, फाइल एक्सेस करने, डेटा मोडिफाई और डिलीट करने के बारे में आगाह किया है।
कंपनी ने अभी तक इसके लिए किसी भी तरह का सिक्योरिटी पैच रोल आउट नहीं किया है, लेकिन यूजर्स से MSDT टूल के URL को मैनुअली डिसेबल करने समेत कई उपाय बताए हैं। ग्लोबली माइक्रोसॉफ्ट ऑफिस से संबंधित प्रोडक्ट्स बड़ी मात्रा में यूज होते हैं, जिसकी वजह से यह वायरस बड़े पैमाने पर असर डाल सकता है।
