Cowin പോർട്ടലിൽ നടന്നത് വെബ് സ്ക്രാപ്പിങ്. ഡാറ്റ ചോർത്തൽ നടന്നു, ഹാക്കിങ്ങിനുള്ള ശ്രമവും നടത്തി. എന്നാൽ ഹാക്കർക്ക് പോർട്ടലിലേക്കു സമ്പൂർണ ആക്സസ് നേടാനായില്ല. തെളിവുകൾ നിരത്തി ബംഗളുരു ആസ്ഥാനമായ സൈബർ ടെക്ക് സ്റ്റാർട്ടപ്പ് ക്ലൗഡ്സെക്ക്-CloudSEK. തിരിച്ചറിഞ്ഞത് CloudSEK-ന്റെ സാന്ദർഭിക AI ഡിജിറ്റൽ റിസ്ക് പ്ലാറ്റ്ഫോമായ XVigil.
Cowin പോർട്ടൽ വഴി വാക്സിനുകൾക്കായി രജിസ്റ്റർ ചെയ്തിട്ടുള്ള ഇന്ത്യൻ വ്യക്തികളുടെ വ്യക്തിഗത വിവരങ്ങളിലേക്ക് ആക്സസ് നൽകിയ ടെലിഗ്രാം ബോട്ട് പ്രൊമോട്ട് ചെയ്യുന്ന ത്രട്ട് ആക്ടറെ ക്ലൗഡ്സെക്ക് ടീം തങ്ങളുടെ XVigil നിർമിത ബുദ്ധി ഡിജിറ്റൽ റിസ്ക് പ്ലാറ്റ്ഫോമിലൂടെ തിരിച്ചറിഞ്ഞു. CloudSEK അനാലിസിസ് നിഗമനം ചെയ്യുന്നത് ഭീഷണിപ്പെടുത്തുന്ന അഭിനേതാക്കൾക്ക് മുഴുവൻ Cowin പോർട്ടലിലേക്കോ ബാക്കെൻഡ് ഡാറ്റാബേസിലേക്കോ ആക്സസ് ഇല്ല എന്നാണ്. ടെലിഗ്രാം ഡാറ്റയിൽ നിന്നുള്ള പൊരുത്തപ്പെടുത്തൽ ഫീൽഡുകളുടെയും ഒരു പ്രദേശത്തെ ആരോഗ്യപ്രവർത്തകരെ ബാധിക്കുന്ന മുമ്പ് റിപ്പോർട്ട് ചെയ്ത സംഭവങ്ങളുടെയും അടിസ്ഥാനത്തിൽ, ഈ അപഹരിക്കപ്പെട്ട ക്രെഡൻഷ്യലുകളിലൂടെ വിവരങ്ങൾ സ്ക്രാപ്പ് ചെയ്തതായിട്ടാണ് തെളിവുകൾ വിരൽ ചൂണ്ടുന്നത്.
CloudSEK-ൽ, ഞങ്ങളുടെ ഉപഭോക്താക്കളുടെ ഡിജിറ്റൽ അപകടസാധ്യതകൾക്ക് സന്ദർഭം നൽകുന്നതിന് Cyber Intelligence, Brand Monitoring, Attack Surface Monitoring, Infrastructure Monitoring ,Supply Chain Intelligence എന്നിവയുടെ ശക്തി സംയോജിപ്പിക്കുന്ന പ്രവർത്തനമാണ് CloudSEK നടത്തുന്നത്.
2022 മാർച്ച് 13-ന്, സമാനമായൊരു ഹാക്കിങ് ശ്രമം കോവിൻ പോർട്ടലിനുമേൽ നടന്നിരുന്നുവെന്നു CloudSEK വ്യക്തമാക്കുന്നു. ഒരു റഷ്യൻ സൈബർ ക്രൈം ഫോറത്തിലെ ഒരു ത്രട്ട് ആക്ടർ തമിഴ്നാട് റീജിയണിലെ കോവിൻ പോർട്ടലിൽ നിന്ന് വിവരങ്ങൾ ചോർത്തിയതായി അവകാശപ്പെട്ടു രംഗത്ത് വന്നിരുന്നു,. വിശകലനത്തിൽ, ലംഘനം ഒരു ആരോഗ്യ പ്രവർത്തകയുടെ വിവരങ്ങളിലാണെന്നും COVIN പോർട്ടലിലെ അടിസ്ഥാന സൗകര്യങ്ങളുടെ കാര്യത്തിലല്ലെന്നും CloudSEK കണ്ടെത്തിയിരുന്നു. സമാന സംഭവമാണ് ഇപ്പോൾ ആവർത്തിച്ചിരിക്കുന്നത്.
Cowin പോർട്ടലിന്റേതായി ഡാർക്ക് വെബിൽ ആക്സസ് ചെയ്യാവുന്ന നിരവധി ആരോഗ്യ പ്രവർത്തകരുടെ ക്രെഡൻഷ്യലുകൾ ഉണ്ട്. കോവിൻറെ അടിസ്ഥാന സൗകര്യ സുരക്ഷയിലെ അന്തർലീനമായ ബലഹീനതകളേക്കാൾ, ആരോഗ്യ പ്രവർത്തകർക്കായി നടപ്പിലാക്കിയ അപര്യാപ്തമായ എൻഡ്പോയിന്റ് സുരക്ഷാ നടപടികളിൽ ഉള്ള പാളിച്ചയാണ് ഈ സംഭവങ്ങൾ വ്യക്തമാക്കുന്നത്.
ത്രട്ട് ആക്ടറുടെ ടെലിഗ്രാം ചാനൽ
2021 ൽ ആരംഭിച്ച ചാനലും, ത്രട്ട് ആക്ടറും ഇപ്പോളും സജീവമാണെന്ന് CloudSEK കണ്ടെത്തിയിട്ടുണ്ട്. റഷ്യൻ ഇതര വംശജരെ സൂചിപ്പിക്കുന്ന സ്ക്രിപ്റ്റുകൾ, ഡാറ്റാബേസ്, ബോട്ട് വിശദാംശങ്ങൾ, ഡീലുകൾ എന്നിവ ത്രട്ട് ആക്ടർ പങ്കിടുന്നു. സംശയാസ്പദവും, അവിശ്വസനീയവുമായ വ്യക്തി എന്ന് സൂചിപ്പിക്കുന്ന E4 എന്ന റേറ്റിംഗാണ് CloudSEK ത്രട്ട് ആക്ടർക്ക് നൽകിയിരിക്കുന്നത്.
Threat Actor Profiling
Active since : 2021
Reputation : Moderate with frequent posts to monetize from methods and data
Current Status : Active, popular
History : The actor has been sharing scripts, database, bot details, and deals in INR, indicating a non-Russian origin.
Rating : E4 (E: Unreliable, 4: Doubtfully True)
ടെലിഗ്രാം ചാനലിൽ നിന്നുള്ള വിശകലനവും ആട്രിബ്യൂഷൻ വിവരങ്ങളും
വ്യക്തികൾക്ക് ആക്സസ് ചെയ്യാനും വാങ്ങാനുമുള്ള ഹാക്കിംഗ് ട്യൂട്ടോറിയലുകളും ഉറവിടങ്ങളും ബോട്ടുകളും പതിവായി പങ്കിടുന്ന hak4learn എന്ന ചാനലാണ് കോവിഡ് ഡാറ്റ ബോട്ട് വാഗ്ദാനം ചെയ്തത്. തുടക്കത്തിൽ, ബോട്ട് എല്ലാവർക്കും ഉപയോഗിക്കാൻ ലഭ്യമായിരുന്നു, എന്നാൽ പിന്നീട് ഇത് സബ്സ്ക്രൈബർമാർക്ക് മാത്രമായി അപ്ഗ്രേഡുചെയ്തു.
2021 ഡിസംബർ 11-ന് സ്ഥാപിതമായ ചാനൽ, ഫോൺ നമ്പറുകളെ അടിസ്ഥാനമാക്കി ലൊക്കേഷൻ വിവരങ്ങൾ വീണ്ടെടുക്കുന്നതിനുള്ള ട്രൂകോളർ ബോട്ട്, ഒടിപി ബോട്ട്, യുപിഐ റീക്കൺ ബോട്ട്, ഫിഷിംഗ് പേജ് ബോട്ട് തുടങ്ങി നിരവധി ടെലിഗ്രാം ബോട്ടുകൾ നൽകുന്നു.
പോർട്ടലിൽ ഇൻപുട്ട് ചെയ്ത ഫോൺ നമ്പറിനെ അടിസ്ഥാനമാക്കി ബോട്ടിന്റെ നവീകരിച്ച പതിപ്പ്, ആധാർ കാർഡ് നമ്പറുകൾ, പാൻ കാർഡ്, വോട്ടർ ഐഡി, ലിംഗഭേദം, വാക്സിനേഷൻ കേന്ദ്രത്തിന്റെ പേര് എന്നിവ ഉൾപ്പെടെയുള്ള PII ഡാറ്റ നൽകി,
ടെലിഗ്രാം ബോട്ടിന്റെ യഥാർത്ഥ ഉറവിടം അജ്ഞാതമാണ്, ഫോൺ നമ്പർ അടിസ്ഥാനമാക്കിയുള്ള വ്യക്തിഗത വിവരങ്ങൾ മാത്രം പ്രദർശിപ്പിക്കുന്ന പതിപ്പ് 1 ബോട്ടിൽ ഉണ്ടായിരുന്നു എന്നത് ശ്രദ്ധിക്കേണ്ടതാണ്. പതിപ്പ് 2 ട്രൂകോളർ ബോട്ട് ആണെന്ന് അവകാശപ്പെടുമ്പോൾ അതിൽ വ്യക്തികളുടെ വ്യക്തിഗത വിവരങ്ങളും അടങ്ങിയിരിക്കുന്നു. ബോട്ട് നിലവിൽ പ്രവർത്തനരഹിതമാണ്, ചാനലിന്റെ അഡ്മിൻ സൂചിപ്പിച്ചതുപോലെ പിന്നീട് തിരികെ വന്നേക്കാം.
ഇപ്പോൾ ചാനലിൽ പരസ്യം ചെയ്ത പോസ്റ്റിൽ കോവിഡ്-19 വാക്സിനേഷൻ ഡ്രൈവുകൾക്കായി രജിസ്റ്റർ ചെയ്ത ആളുകളുടെ പിഐഐ വെളിപ്പെടുത്തുന്ന അഡ്മിൻ പോർട്ടലിന്റെ സ്ക്രീൻഷോട്ടുകൾ അടങ്ങിയിരിക്കുന്നു.
ത്രട്ട് ആക്ടറുടെ പ്രവർത്തനവും റേറ്റിംഗും
2022-ൽ നടത്തിയ ഒരു ഇൻസ്റ്റാഗ്രാം പോസ്റ്റിനെ അടിസ്ഥാനമാക്കി, ത്രട്ട് ആക്ടറുമായി ബന്ധപ്പെട്ട ഒരു അക്കൗണ്ട് എസ്ബിഐ, പേയ്എം, ഗൂഗിൾ പേ തുടങ്ങിയ യുപിഐ പേയ്മെന്റ് ഗേറ്റ്വേകൾ ചൂഷണം ചെയ്യുന്ന വിവിധ സ്ക്രിപ്റ്റുകൾ എന്നിവ ചാനലിൽ വാഗ്ദാനം ചെയ്തിട്ടുണ്ട്.
തുറന്നുകാട്ടപ്പെടുന്ന വ്യക്തിപരമായി തിരിച്ചറിയാവുന്ന ഇത്തരം വിവരങ്ങൾ -Personally Identifiable Information (PII) സോഷ്യൽ എഞ്ചിനീയറിംഗ് സ്കീമുകൾ, ഫിഷിംഗ് ആക്രമണങ്ങൾ, കൂടാതെ ഐഡന്റിറ്റി മോഷണം എന്നിവ സംഘടിപ്പിക്കാൻ ത്രട്ട് ആക്ടറെ ഇനിയും പ്രാപ്തരാക്കും.
Cowin പോർട്ടലിൽ ഇനി വേണ്ടത് 2FA
Cowin പോർട്ടലിൽ 2FA -two-factor authentication – നിർബന്ധമാക്കുക എന്നതാണ് സുരക്ഷാ ഉറപ്പാക്കാനുള്ള ഏക മാർഗം. പുതു തലമുറ ഹാക്കർമാർ നടത്തുന്ന നൂതന സൈബർ ആക്രമണങ്ങളെ പറ്റിയുള്ള അപ്ഡേഷനുകൾ നിർബന്ധമായും പോർട്ടൽ കൈകാര്യം ചെയ്യുന്ന ഏജൻസി അറിഞ്ഞിരിക്കണം
