چین میں مقیم بل بگ اے پی ٹی سرٹیفکیٹ اتھارٹی پلاٹو بلاکچین ڈیٹا انٹیلی جنس میں دراندازی کرتا ہے۔ عمودی تلاش۔ عی

چین میں مقیم بل بگ اے پی ٹی نے سرٹیفکیٹ اتھارٹی میں دراندازی کی۔

ٹائم سٹیمپ: 16 نومبر 2022 6:00 PM

بلبگ کے نام سے جانا جاتا ریاستی سرپرستی میں چلنے والا سائبر اٹیک گروپ ایک وسیع پیمانے پر جاسوسی مہم کے حصے کے طور پر ڈیجیٹل سرٹیفکیٹ اتھارٹی (CA) سے سمجھوتہ کرنے میں کامیاب ہوا جو مارچ تک پھیلی ہوئی تھی - ایڈوانسڈ پرسسٹنٹ تھریٹ (APT) پلے بک میں ایک ترقی سے متعلق، محققین نے خبردار کیا۔

ڈیجیٹل سرٹیفکیٹ وہ فائلیں ہیں جو سافٹ ویئر کو درست کے طور پر دستخط کرنے اور انکرپٹڈ کنکشنز کو فعال کرنے کے لیے کسی ڈیوائس یا صارف کی شناخت کی تصدیق کرنے کے لیے استعمال ہوتی ہیں۔ اس طرح، ایک CA سمجھوتہ چپکے سے فالو آن حملوں کے لشکر کا باعث بن سکتا ہے۔

"سرٹیفکیٹ اتھارٹی کو نشانہ بنانا قابل ذکر ہے، جیسا کہ اگر حملہ آور سرٹیفکیٹ تک رسائی کے لیے اس سے کامیابی کے ساتھ سمجھوتہ کرنے میں کامیاب ہو گئے، تو وہ ممکنہ طور پر ان کا استعمال ایک درست سرٹیفکیٹ کے ساتھ میلویئر پر دستخط کرنے کے لیے کر سکتے ہیں، اور شکار مشینوں پر پتہ لگانے سے بچنے میں مدد کر سکتے ہیں۔" ایک رپورٹ اس ہفتے Symantec سے۔ "یہ ممکنہ طور پر ایچ ٹی ٹی پی ایس ٹریفک کو روکنے کے لیے سمجھوتہ شدہ سرٹیفکیٹس کا استعمال کر سکتا ہے۔"

"یہ ممکنہ طور پر بہت خطرناک ہے،" محققین نے نوٹ کیا۔

سائبر سمجھوتوں کا ایک جاری سلسلہ

بل بگ (عرف لوٹس بلسم یا تھرپ) ایک چین میں قائم جاسوسی گروپ ہے جو بنیادی طور پر جنوب مشرقی ایشیا میں متاثرین کو نشانہ بناتا ہے۔ یہ بڑے کھیل کے شکار کے لیے جانا جاتا ہے — یعنی فوجی تنظیموں، سرکاری اداروں، اور مواصلاتی فراہم کنندگان کے پاس موجود رازوں کی پیروی کرنا۔ بعض اوقات یہ گہرے محرکات کی طرف اشارہ کرتے ہوئے ایک وسیع تر جال ڈالتا ہے: ماضی کی ایک مثال میں، اس نے ایک ایرو اسپیس آپریٹر میں گھس کر ایسے کمپیوٹرز کو متاثر کیا جو مصنوعی سیاروں کی نقل و حرکت کی نگرانی اور کنٹرول کرتے ہیں۔

مذموم سرگرمیوں کی تازہ ترین دوڑ میں، اے پی ٹی نے پورے ایشیا میں حکومتی اور دفاعی ایجنسیوں کو نشانہ بنایا، ایک معاملے میں ایک سرکاری نیٹ ورک پر "بڑی تعداد میں مشینوں" کو اپنے کسٹم میلویئر سے متاثر کیا۔

"یہ مہم کم از کم مارچ 2022 سے ستمبر 2022 تک جاری تھی، اور ممکن ہے کہ یہ سرگرمی جاری رہے،" بریگیڈ او گورمن، سیمنٹیک تھریٹ ہنٹر ٹیم کے سینئر انٹیلی جنس تجزیہ کار کہتے ہیں۔ "Billbug ایک طویل عرصے سے قائم خطرہ گروپ ہے جس نے کئی سالوں میں متعدد مہمات چلائی ہیں۔ یہ ممکن ہے کہ یہ سرگرمی اضافی تنظیموں یا جغرافیوں تک پھیل سکتی ہے، حالانکہ Symantec اس وقت اس کا کوئی ثبوت نہیں ہے۔

سائبر حملوں کے لیے ایک مانوس نقطہ نظر

ان اہداف کے ساتھ ساتھ CA میں، ابتدائی رسائی ویکٹر کمزور، عوام کو درپیش ایپلی کیشنز کا استحصال رہا ہے۔ کوڈ پر عمل کرنے کی صلاحیت حاصل کرنے کے بعد، دھمکی دینے والے اداکار نیٹ ورکس میں گہرائی تک جانے سے پہلے اپنے معروف، حسب ضرورت Hannotog یا Sagerunex بیک ڈور انسٹال کرتے ہیں۔

بعد کے کِل چین کے مراحل کے لیے، بل بگ حملہ آور متعدد استعمال کرتے ہیں۔ لیونگ آف دی لینڈ بائنریز (LoLBins)، جیسے AdFind، Certutil، NBTscan، Ping، Port Scanner، Route، Tracert، Winmail، اور WinRAR، Symantec کی رپورٹ کے مطابق۔

ان جائز ٹولز کو ڈوپل گینگر کے مختلف استعمال کے لیے استعمال کیا جا سکتا ہے، جیسے کہ نیٹ ورک کا نقشہ بنانے کے لیے ایکٹیو ڈائرکٹری سے استفسار کرنا، فائلوں کو زپ کرنا، اختتامی پوائنٹس کے درمیان راستے کھولنا، نیٹ بی آئی او ایس اور پورٹس کو اسکین کرنا، اور براؤزر روٹ سرٹیفکیٹ انسٹال کرنا۔ .

دوہری استعمال کے ٹولز کے ساتھ مل کر حسب ضرورت بیک ڈور ایک جانا پہچانا نشان ہے، جو ماضی میں اے پی ٹی کے ذریعے استعمال ہوتا رہا ہے۔ لیکن عوامی نمائش کے بارے میں تشویش کا فقدان ہے۔ گروپ کے کورس کے برابر.

گورمن کا کہنا ہے کہ "یہ قابل ذکر ہے کہ بل بگ اس سرگرمی کو اس سے منسوب کرنے کے امکان سے بے خوف دکھائی دیتا ہے، اس کے ساتھ وہ ٹولز کو دوبارہ استعمال کر رہا ہے جو ماضی میں اس گروپ سے منسلک رہے ہیں،" گورمن کہتے ہیں۔

وہ مزید کہتی ہیں، "گروپ کا زمین سے دور رہنے اور دوہری استعمال کرنے والے ٹولز کا بہت زیادہ استعمال بھی قابل ذکر ہے، اور تنظیموں کے لیے ایسے حفاظتی پروڈکٹس کی ضرورت پر زور دیتا ہے جو نہ صرف میلویئر کا پتہ لگا سکیں، بلکہ یہ بھی تسلیم کریں کہ آیا جائز ٹولز ممکنہ طور پر استعمال ہو رہے ہیں۔ مشکوک یا بدنیتی پر مبنی طریقے سے۔"

Symantec نے نامعلوم CA کو اس سرگرمی کے بارے میں مطلع کرنے کے لیے مطلع کیا ہے، لیکن گورمن نے اس کے ردعمل یا تدارک کی کوششوں کے بارے میں مزید تفصیلات پیش کرنے سے انکار کر دیا۔

اگرچہ ابھی تک اس بات کا کوئی اشارہ نہیں ملا ہے کہ یہ گروپ حقیقی ڈیجیٹل سرٹیفکیٹس سے سمجھوتہ کرنے کے قابل تھا، محقق مشورہ دیتے ہیں، "انٹرپرائزز کو اس بات سے آگاہ ہونا چاہیے کہ اگر خطرے والے اداکار سرٹیفکیٹ حکام تک رسائی حاصل کرنے میں کامیاب ہوتے ہیں تو مالویئر کو درست سرٹیفکیٹ کے ساتھ سائن کیا جا سکتا ہے۔"

وہ کہتی ہیں کہ عام طور پر، تنظیموں کو ایک دفاعی گہرائی والی حکمت عملی اپنانی چاہیے، جس میں ممکنہ حملے کے سلسلے کے ہر مقام پر خطرے کو کم کرنے کے لیے متعدد پتہ لگانے، تحفظ اور سخت کرنے والی ٹیکنالوجیز کا استعمال کرنا چاہیے۔

"Symantec انتظامی اکاؤنٹ کے استعمال کے مناسب آڈٹ اور کنٹرول کو نافذ کرنے کا مشورہ بھی دے گا،" گورمن نے نوٹ کیا۔ "ہم ایڈمن ٹولز کے لیے استعمال کے پروفائلز بنانے کا مشورہ بھی دیں گے کیونکہ ان میں سے بہت سے ٹولز حملہ آوروں کے ذریعے نیٹ ورک کے ذریعے بعد میں پتہ نہ چلنے کے لیے استعمال کیے جاتے ہیں۔ پورے بورڈ میں، ملٹی فیکٹر توثیق (MFA) سمجھوتہ شدہ اسناد کی افادیت کو محدود کرنے میں مدد کر سکتی ہے۔

ٹائم اسٹیمپ:

سے زیادہ گہرا پڑھنا