روسی انٹیلی جنس ریپڈ فائر سائبر حملوں میں دنیا بھر میں متاثرین کو نشانہ بناتی ہے۔

روسی ریاستی ہیکرز چار براعظموں میں پھیلے کم از کم نو ممالک میں ٹارگٹ فشنگ مہم چلا رہے ہیں۔ ان کی ای میلز سرکاری حکومتی کاروبار پر زور دیتی ہیں اور، اگر کامیاب ہوتی ہیں، تو نہ صرف حساس تنظیمی ڈیٹا، بلکہ تزویراتی اہمیت کی جیو پولیٹیکل انٹیلی جنس کو بھی خطرہ ہے۔

ایسا نفیس، کثیر الجہتی پلاٹ صرف ایک گروپ ہی بنا سکتا ہے جتنا کہ فینسی ریچھ (عرف APT28, Forest Blizzard, Frozenlake, Sofacy Group, Strontium, UAC-028، اور ابھی بھی بہت سے دوسرے عرف)، جسے IBM X-Force ITG05 کے طور پر ٹریک کرتا ہے۔ ایک نئی رپورٹ.

قائل کرنے والے حکومتی تھیم والے لالچوں اور حسب ضرورت بیک ڈور کی تین نئی شکلوں کے علاوہ، یہ مہم ان معلومات کے لیے سب سے نمایاں ہے جو اس کا ہدف ہے: فینسی بیئر کا مقصد روسی حکومت کے لیے استعمال کی انتہائی مخصوص معلومات کے لیے ہے۔

گورنمنٹ فشنگ لالچ

فینسی بیئر نے ارجنٹائن، یوکرین، جارجیا، بیلاروس، قازقستان، پولینڈ، آرمینیا، آذربائیجان اور امریکہ میں تنظیموں کو نشانہ بنانے والی مہموں میں کم از کم 11 منفرد لالچوں کا استعمال کیا ہے۔

یہ لالچ بین الاقوامی حکومتوں سے وابستہ سرکاری دستاویزات کی طرح نظر آتے ہیں، جن میں فنانس، اہم انفراسٹرکچر، ایگزیکٹو مصروفیات، سائبر سیکیورٹی، میری ٹائم سیکیورٹی، صحت کی دیکھ بھال اور دفاعی صنعتی پیداوار جیسے وسیع موضوعات کا احاطہ کیا گیا ہے۔

ان میں سے کچھ جائز، عوامی طور پر قابل رسائی دستاویزات ہیں۔ دوسرے، دلچسپ بات یہ ہے کہ مخصوص حکومتی ایجنسیوں کے اندرونی ہوتے دکھائی دیتے ہیں، یہ سوال اٹھاتے ہیں کہ فینسی بیئر نے پہلی جگہ ان پر ہاتھ کیسے ڈالا۔

"X-Force کے پاس اس بات کی بصیرت نہیں ہے کہ آیا ITG05 نے نقالی تنظیموں کے ساتھ کامیابی سے سمجھوتہ کیا ہے،" کلیئر زبوئیوا نوٹ کرتی ہے، IBM X-Force کے لیے خطرہ کا شکار۔ "چونکہ یہ ممکن ہے کہ ITG05 نے داخلی دستاویزات جمع کرنے کے لیے غیر مجاز رسائی کا فائدہ اٹھایا ہو، اس لیے ہم نے اپنی ذمہ دارانہ انکشاف کی پالیسی کے ایک حصے کے طور پر اشاعت سے قبل سرگرمی کی تمام نقلی جماعتوں کو مطلع کر دیا ہے۔"

متبادل طور پر، Fancy Bear/ITGO5 نے محض اصلی فائلوں کی نقل کی ہو گی۔ انہوں نے کہا، "مثال کے طور پر، کچھ بے نقاب دستاویزات میں نمایاں غلطیاں نظر آتی ہیں جیسے کہ پرنسپل پارٹیوں کے ناموں کی غلط ہجے کرنا جو سرکاری سرکاری معاہدوں میں دکھائی دیتے ہیں۔"

ایک ممکنہ مقصد؟

ان لالچوں کی ایک اور اہم خوبی یہ ہے کہ وہ کافی مخصوص ہیں۔

انگریزی زبان کی مثالوں میں جارجیائی این جی او کا سائبرسیکیوریٹی پالیسی پیپر، اور یو ایس نیوی کے پیسفک انڈین اوشین شپنگ ورکنگ گروپ (PACIOSWG) کے شرکاء کے لیے 2024 میٹنگ اور ایکسرسائز بیل بوائے (XBB24) کی تفصیل دینے والا جنوری کا سفر نامہ شامل ہے۔

اور مالیاتی تھیم پر مبنی لالچیں ہیں: بیلاروس کی دستاویز جس میں 2025 تک انٹر اسٹیٹ انٹرپرائز کو سہولت فراہم کرنے کے لیے تجارتی حالات پیدا کرنے کی سفارشات ہیں، یوریشین اکنامک یونین کے اقدام کے ساتھ موافقت میں، ایک ارجنٹائن کی وزارت اقتصادیات کی بجٹ پالیسی دستاویز جو "اسٹریٹیجک رہنما خطوط" پیش کرتی ہے۔ قومی اقتصادی پالیسی کے ساتھ صدر، اور ان خطوط پر مزید۔

X-Force نے مہم کے بارے میں اپنی رپورٹ میں کہا، "یہ امکان ہے کہ بجٹ کے خدشات اور عالمی اداروں کی حفاظت کے بارے میں حساس معلومات کا مجموعہ ITG05 کے قائم کردہ مشن کی جگہ کے پیش نظر ایک اعلی ترجیحی ہدف ہے۔"

مثال کے طور پر، ارجنٹائن نے حال ہی میں BRICS (برازیل، روس، بھارت، چین، جنوبی افریقہ) تجارتی تنظیم میں شمولیت کی دعوت کو مسترد کر دیا، اس لیے "یہ ممکن ہے کہ ITG05 رسائی حاصل کرنے کی کوشش کرے جس سے ارجنٹائن کی حکومت کی ترجیحات میں بصیرت پیدا ہو سکے۔ "X-Force نے کہا۔

استحصال کے بعد کی سرگرمی

مخصوصیت اور جواز کی ظاہری شکل کے علاوہ، حملہ آور متاثرین کو پھنسانے کے لیے ایک اور نفسیاتی چال کا استعمال کرتے ہیں: انہیں ابتدائی طور پر صرف دستاویز کے دھندلے ورژن کے ساتھ پیش کرنا۔ جیسا کہ نیچے دی گئی تصویر میں ہے، وصول کنندگان یہ معلوم کرنے کے لیے کافی تفصیل دیکھ سکتے ہیں کہ یہ دستاویزات سرکاری اور اہم دکھائی دیتی ہیں، لیکن ان پر کلک کرنے سے بچنے کے لیے کافی نہیں۔

نمونہ لالچ دستاویز؛ ماخذ: آئی بی ایم

جب حملہ آور کے زیر کنٹرول سائٹس پر متاثرین لالچ کے دستاویزات کو دیکھنے کے لیے کلک کرتے ہیں، تو وہ "Masepie" نامی ایک ازگر کا بیک ڈور ڈاؤن لوڈ کرتے ہیں۔ دسمبر میں پہلی بار دریافت کیا گیا، یہ ونڈوز مشین میں استقامت قائم کرنے، اور فائلوں کو ڈاؤن لوڈ اور اپ لوڈ کرنے اور صوابدیدی کمانڈ پر عمل درآمد کو فعال کرنے کے قابل ہے۔

مسیپی نے متاثرہ مشینوں پر جو فائلیں ڈاؤن لوڈ کی ہیں ان میں سے ایک "Oceanmap" ہے، جو انٹرنیٹ میسج ایکسیس پروٹوکول (IMAP) کے ذریعے کمانڈ پر عمل درآمد کے لیے C# پر مبنی ٹول ہے۔ Oceanmap کا اصل ویرینٹ - جو یہاں استعمال نہیں کیا گیا ہے - میں معلومات چوری کرنے کی فعالیت تھی جسے بعد میں ایکسائز کر کے "Steelhook" میں منتقل کر دیا گیا ہے، جو اس مہم سے منسلک دیگر Masepie ڈاؤن لوڈ کردہ پے لوڈ ہے۔

اسٹیل ہُک ایک پاور شیل اسکرپٹ ہے جس کا کام ویب ہُک کے ذریعے گوگل کروم اور مائیکروسافٹ ایج سے ڈیٹا نکالنا ہے۔

اس کے میلویئر سے زیادہ قابل ذکر فینسی بیئر کی فوری کارروائی ہے۔ جیسا کہ پہلے بیان کیا یوکرین کی کمپیوٹر ایمرجنسی رسپانس ٹیم (CERT-UA) کے ذریعے، شکار کی مشین پر اترنے کے پہلے گھنٹے کے ساتھ فینسی بیئر انفیکشنز، بیک ڈور ڈاؤن لوڈ کرنا اور ریلے حملوں کے لیے چوری شدہ NTLMv2 ہیشز کے ذریعے جاسوسی اور پس منظر کی نقل و حرکت کرنا۔

اس لیے ممکنہ متاثرین کو فوری طور پر کام کرنے کی ضرورت ہے یا، بہتر طور پر، اپنے انفیکشن کے لیے پیشگی تیاری کرنی چاہیے۔ وہ IBM کی سفارشات کی لانڈری فہرست پر عمل کر کے ایسا کر سکتے ہیں: فینسی بیئر کے ہوسٹنگ فراہم کنندہ، فرسٹ کلاؤڈ آئی ٹی کے ذریعے پیش کردہ یو آر ایل کے ساتھ ای میلز کی نگرانی، اور نامعلوم سرورز پر مشتبہ IMAP ٹریفک، اس کی پسندیدہ کمزوریوں کو دور کرنا - جیسے CVE-2024-21413، CVE-2024 -21410, CVE-2023-23397, CVE-2023-35636 – اور بہت کچھ۔

محققین نے نتیجہ اخذ کیا کہ "ITG05 عالمی حکومتوں اور ان کے سیاسی آلات کے خلاف حملوں کا فائدہ اٹھانا جاری رکھے گا تاکہ روس کو ہنگامی پالیسی کے فیصلوں کے بارے میں جدید بصیرت فراہم کی جا سکے۔"

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
• پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
• پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.darkreading.com/threat-intelligence/russian-intelligence-targets-victims-worldwide-in-rapid-fire-cyberattacks