ایران کی حمایت یافتہ دلکش بلی کے بچے اہداف کو پھنسانے کے لیے جعلی ویبنار پلیٹ فارم پر کام کرتے ہیں

مشرق وسطیٰ، یوکرین، اور ابھرتے ہوئے جغرافیائی سیاسی تناؤ کے دیگر علاقوں میں تنازعات نے پالیسی ماہرین کو ریاستی سرپرستی میں چلنے والے گروپوں کے سائبر آپریشنز کا تازہ ترین ہدف بنا دیا ہے۔ 

ایران سے منسلک ایک گروپ - جسے Charming Kitten، CharmingCypress، اور APT42 کے نام سے جانا جاتا ہے - نے حال ہی میں خطے کے ساتھ ساتھ امریکہ اور یورپ میں مشرق وسطیٰ کے پالیسی ماہرین کو نشانہ بنایا، اپنے نشانہ بنائے گئے متاثرین سے سمجھوتہ کرنے کے لیے ایک جعلی ویبینار پلیٹ فارم کا استعمال کرتے ہوئے، واقعہ کے ردعمل کی خدمات کی فرم وولیکسٹی۔ اس ماہ شائع ہونے والی ایک ایڈوائزری میں کہا گیا ہے۔

فرم نے کہا کہ دلکش بلی کے بچے سماجی انجینئرنگ کے وسیع حربوں کے لیے مشہور ہیں، جن میں سیاسی ذہانت کو اکٹھا کرنے کے لیے تھنک ٹینکس اور صحافیوں کے خلاف کم اور سست سوشل انجینئرنگ حملے شامل ہیں۔ 

یہ گروپ اکثر جعلی ویبینار پلیٹ فارم اور دیگر سائٹس تک رسائی حاصل کرنے کے لیے ٹروجن دھاندلی والی VPN ایپلی کیشنز کو انسٹال کرنے کا ہدف بناتا ہے، جس کے نتیجے میں میلویئر کی تنصیب ہوتی ہے۔ وولیکسٹی کے شریک بانی اور صدر سٹیون ایڈیئر کا کہنا ہے کہ مجموعی طور پر، گروپ نے طویل اعتماد کے کھیل کو اپنا لیا ہے۔

"میں نہیں جانتا کہ کیا یہ ضروری طور پر نفیس اور ترقی یافتہ ہے، لیکن یہ بہت زیادہ کوشش ہے،" وہ کہتے ہیں۔ "یہ ایک اہم مارجن سے آپ کے اوسط حملے سے زیادہ جدید اور زیادہ نفیس ہے۔ یہ کوشش اور لگن کی سطح ہے … جو یقینی طور پر مختلف اور غیر معمولی ہے … حملوں کے اس مخصوص سیٹ کے لیے اتنی کوشش کرنا۔

کراس شائرز میں جیو پولیٹیکل ماہرین

پالیسی ماہرین کو اکثر قومی ریاستی گروہوں کی طرف سے نشانہ بنایا جاتا ہے۔ دی روس سے منسلک کولڈ ریور گروپمثال کے طور پر، نے غیر سرکاری تنظیموں، فوجی افسران، اور دیگر ماہرین کو نشانہ بنایا ہے جو سوشل انجینئرنگ کا استعمال کرتے ہوئے متاثرہ کا اعتماد حاصل کر رہے ہیں اور پھر ایک بدنیتی پر مبنی لنک یا میلویئر کے ساتھ فالو اپ کر رہے ہیں۔ اردن میں، ٹارگٹڈ استحصال — مبینہ طور پر سرکاری ایجنسیوں کے ذریعے — پیگاسس اسپائی ویئر پروگرام استعمال کیا۔ NSO گروپ کے ذریعہ تیار کیا گیا ہے اور صحافیوں، ڈیجیٹل حقوق کے وکلاء، اور دیگر پالیسی ماہرین کو نشانہ بنایا گیا ہے۔ 

دیگر کمپنیوں نے بھی چارمنگ کیٹن/چارمنگ سائپریس کی حکمت عملی بیان کی ہے۔ جنوری کی ایک ایڈوائزری میں، مائیکروسافٹ نے خبردار کیا۔ کہ اس گروپ نے، جسے وہ Mint Sandstorm کہتے ہیں، نے صحافیوں، محققین، پروفیسروں اور دیگر ماہرین کو نشانہ بنایا جو ایرانی حکومت کی دلچسپی کے سیکورٹی اور پالیسی کے موضوعات کا احاطہ کرتے تھے۔

"Mint Sandstorm کے اس ذیلی گروپ سے وابستہ آپریٹرز مریض اور انتہائی ہنر مند سوشل انجینئرز ہیں جن کے ٹریڈ کرافٹ میں بہت سے ایسے نشانات کی کمی ہے جو صارفین کو فوری طور پر فشنگ ای میلز کی شناخت کرنے کی اجازت دیتے ہیں،" Microsoft نے کہا۔ "اس مہم کی کچھ مثالوں میں، اس ذیلی گروپ نے فشنگ کے لالچ بھیجنے کے لیے جائز لیکن سمجھوتہ کیے گئے اکاؤنٹس کا بھی استعمال کیا۔"

یہ گروپ کم از کم 2013 سے سرگرم ہے۔ اسلامی انقلابی گارڈ کور (IRGC) سے مضبوط روابطسائبر سیکیورٹی فرم CrowdStrike کے مطابق، اور اسرائیل اور حماس کے درمیان تنازعہ کے سائبر آپریشنل پہلو میں براہ راست ملوث نہیں رہا ہے۔ 

"روس یوکرین جنگ کے برعکس، جہاں معروف سائبر آپریشنز نے براہ راست تنازعہ میں حصہ ڈالا ہے، اسرائیل-حماس تنازعہ میں ملوث افراد نے اسرائیل کے خلاف حماس کی فوجی کارروائیوں میں براہ راست تعاون نہیں کیا،" کمپنی نے اپنے "2024 گلوبل تھریٹ" میں کہا۔ رپورٹ" 21 فروری کو جاری کی گئی۔

وقت کے ساتھ تعلقات کی تعمیر

یہ حملے عام طور پر نیزہ بازی کے ساتھ شروع ہوتے ہیں اور ہدف کے نظام تک پہنچائے جانے والے میلویئر کے مجموعے پر ختم ہوتے ہیں۔ وولیکسٹی کی طرف سے ایک مشورہ، جو گروپ کو CharmingCypress کہتے ہیں۔ ستمبر اور اکتوبر 2023 میں، CharmingCypress نے متعدد ٹائپو squatted ڈومینز کا استعمال کیا - جو کہ جائز ڈومینز سے ملتے جلتے ایڈریس ہیں - کو بین الاقوامی انسٹی ٹیوٹ آف ایرانی اسٹڈیز (IIIS) کے عہدیداروں کے طور پر ظاہر کرنے کے لیے پالیسی ماہرین کو ویبینار میں مدعو کرنے کے لیے۔ ابتدائی ای میل نے CharmingCypress کی کم اور سست روش کا مظاہرہ کیا، کسی بھی بدنیتی پر مبنی لنک یا اٹیچمنٹ سے بچنا اور ٹارگٹڈ پروفیشنل کو مواصلات کے دوسرے چینلز، جیسے WhatsApp اور سگنل کے ذریعے پہنچنے کی دعوت دی۔ 

گہرائی سے اسپیئر فشنگ کا استعمال کرتے ہوئے، CharmingCypress کا مقصد پالیسی ماہرین کو میلویئر انسٹال کرنے پر قائل کرنا ہے۔ ماخذ: وولیکسٹی

ایڈیئر کا کہنا ہے کہ یہ حملے مشرق وسطیٰ کے پالیسی ماہرین کو دنیا بھر میں نشانہ بناتے ہیں، جس میں وولیکسٹی کو یورپی اور امریکی پیشہ ور افراد کے خلاف زیادہ تر حملوں کا سامنا کرنا پڑتا ہے۔

"وہ کافی جارحانہ ہیں،" وہ کہتے ہیں۔ "وہ پوری ای میل چینز یا ایک فشنگ منظرنامہ بھی ترتیب دیں گے جہاں وہ تبصرہ تلاش کر رہے ہوں گے اور وہاں دوسرے لوگ بھی ہوں گے - شاید تین، چار، یا پانچ لوگ اس ای میل تھریڈ پر ہدف کے استثناء کے ساتھ - وہ یقینی طور پر کوشش کر رہے ہیں۔ تعلقات استوار کرنے کے لیے۔"

لانگ کون آخر کار ایک پے لوڈ فراہم کرتا ہے۔ وولیکسٹی نے خطرے سے وابستہ پانچ مختلف میلویئر خاندانوں کی نشاندہی کی۔ پاور لیس بیک ڈور کو میلویئر سے لیس ورچوئل پرائیویٹ نیٹ ورک (VPN) ایپلیکیشن کے ونڈوز ورژن کے ذریعے انسٹال کیا گیا ہے، جو پاور شیل کو فائلوں کو منتقل کرنے اور اس پر عمل درآمد کرنے کے ساتھ ساتھ سسٹم پر مخصوص ڈیٹا کو نشانہ بنانے، کی اسٹروکس کو لاگ کرنے، اور اسکرین شاٹس کیپچر کرنے کے لیے استعمال کرتا ہے۔ . میلویئر کے ایک macOS ورژن کو NokNok کا نام دیا گیا ہے، جبکہ RAR آرکائیو اور LNK استحصال کا استعمال کرتے ہوئے ایک علیحدہ میلویئر چین Basicstar نامی بیک ڈور کی طرف لے جاتا ہے۔

دفاع کرنا مزید مشکل ہو جاتا ہے۔

سوشل انجینئرنگ کے لیے گروپ کا نقطہ نظر یقینی طور پر ایڈوانس پرسسٹنٹ خطرے (APT) کے "استقامت" کا حصہ ہے۔ Adair کا کہنا ہے کہ وولیکسٹی کو حملوں کی ایک "مسلسل بیراج" نظر آتی ہے، لہذا پالیسی ماہرین کو ٹھنڈے رابطوں کے بارے میں مزید مشکوک ہونا پڑے گا۔

وہ کہتے ہیں کہ ایسا کرنا مشکل ہوگا، کیونکہ بہت سے پالیسی ماہرین ماہرین تعلیم ہیں جو طلباء یا عوام کے ساتھ مسلسل رابطے میں ہیں اور وہ اپنے رابطوں کے ساتھ سختی کے عادی نہیں ہیں۔ پھر بھی انہیں کسی نامعلوم لنک کے ذریعے پہنچی ہوئی سائٹ میں دستاویزات کھولنے یا اسناد داخل کرنے سے پہلے ضرور سوچنا چاہیے۔

"دن کے اختتام پر، انہیں اس شخص کو کسی چیز پر کلک کرنے یا کچھ کھولنے کے لیے مجبور کرنا ہوتا ہے، جس کا اگر میں چاہتا ہوں کہ آپ کسی کاغذ یا اس جیسی کسی چیز کا جائزہ لیں، تو اس کا مطلب ہے … لنکس اور فائلوں سے بہت محتاط رہنا،" ایڈیئر کہتے ہیں۔ "اگر مجھے کسی بھی وقت اپنی اسناد داخل کرنی ہوں، یا کسی چیز کی اجازت دینی ہو - یہ ایک بڑا سرخ پرچم ہونا چاہیے۔ اسی طرح، اگر مجھ سے کچھ ڈاؤن لوڈ کرنے کے لیے کہا جا رہا ہے، تو یہ ایک بہت بڑا سرخ پرچم ہونا چاہیے۔

اس کے علاوہ، پالیسی ماہرین کو یہ سمجھنے کی ضرورت ہے کہ CharmingCypress ان کو نشانہ بنانا جاری رکھے گا چاہے اس کی کوششیں ناکام ہو جائیں، وولیکسٹی نے کہا۔ 

کمپنی نے اپنی ایڈوائزری میں کہا کہ "یہ دھمکی آمیز اداکار اپنے اہداف پر نگرانی کرنے کے لیے انتہائی پرعزم ہے تاکہ اس بات کا تعین کیا جا سکے کہ ان سے کس طرح بہتر طریقے سے ہیرا پھیری کی جائے اور مالویئر کو تعینات کیا جائے۔" "اس کے علاوہ، چند دیگر دھمکی آمیز اداکاروں نے مسلسل چارمنگ سائپریس جیسی بہت سی مہموں کا آغاز کیا ہے، جو انسانی آپریٹرز کو ان کی جاری کوششوں کی حمایت کے لیے وقف کرتے ہیں۔"

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
• پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
• پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.darkreading.com/vulnerabilities-threats/iran-backed-charming-kitten-stages-fake-webinar-platform-to-ensnare-targets