LABSCON - Scottsdale, Ariz. - ایک نیا خطرہ اداکار جس نے مشرق وسطی میں ایک ٹیلی کمیونیکیشن کمپنی اور مشرق وسطی اور افریقہ میں متعدد انٹرنیٹ سروس فراہم کنندگان اور یونیورسٹیوں کو متاثر کیا ہے وہ دو "انتہائی پیچیدہ" میلویئر پلیٹ فارمز کے لیے ذمہ دار ہے — لیکن اس کے بارے میں بہت کچھ آج یہاں سامنے آنے والی نئی تحقیق کے مطابق گروپ جو اسرار میں ڈوبا ہوا ہے۔
SentintelLabs کے محققین، جنہوں نے پہلی بار LabsCon سیکیورٹی کانفرنس میں اپنے نتائج کا اشتراک کیا، گروپ کا نام Metador رکھا، اس جملے "I am meta" کی بنیاد پر جو کہ بدنیتی پر مبنی کوڈ میں ظاہر ہوتا ہے اور اس حقیقت سے کہ سرور کے پیغامات عام طور پر ہسپانوی میں ہوتے ہیں۔ خیال کیا جاتا ہے کہ یہ گروپ دسمبر 2020 سے سرگرم ہے، لیکن یہ گزشتہ چند سالوں میں کامیابی کے ساتھ ریڈار کے نیچے آ گیا ہے۔ سینٹینیل لیبز کے سینئر ڈائریکٹر، جوآن اینڈریس گوریرو-ساد نے کہا کہ ٹیم نے دیگر سیکورٹی فرموں اور حکومتی شراکت داروں کے محققین کے ساتھ میٹاڈور کے بارے میں معلومات شیئر کیں، لیکن کوئی بھی اس گروپ کے بارے میں کچھ نہیں جانتا تھا۔
Guerrero-Saade اور SentinelLabs کے محققین امیتائی بین شوشن ایرلچ اور الیگزینڈر میلینکوسکی نے ایک شائع کیا بلاگ پوسٹ اور تکنیکی تفصیلات دو میلویئر پلیٹ فارمز، میٹا مین اور مافالڈا کے بارے میں، مزید متاثرین کو تلاش کرنے کی امید میں جو متاثر ہوئے ہیں۔ "ہمیں معلوم تھا کہ وہ کہاں ہیں، نہ کہ اب کہاں ہیں،" گوریرو-سعد نے کہا۔
MetaMain ایک بیک ڈور ہے جو ماؤس اور کی بورڈ کی سرگرمی کو لاگ کر سکتا ہے، اسکرین شاٹس لے سکتا ہے، اور ڈیٹا اور فائلوں کو نکال سکتا ہے۔ یہ Mafalda کو انسٹال کرنے کے لیے بھی استعمال کیا جا سکتا ہے، ایک انتہائی ماڈیولر فریم ورک جو حملہ آوروں کو سسٹم اور نیٹ ورک کی معلومات اور دیگر اضافی صلاحیتیں جمع کرنے کی صلاحیت فراہم کرتا ہے۔ metaMain اور Mafalda دونوں مکمل طور پر میموری میں کام کرتے ہیں اور خود کو سسٹم کی ہارڈ ڈرائیو پر انسٹال نہیں کرتے ہیں۔
سیاسی مزاحیہ
خیال کیا جاتا ہے کہ میلویئر کا نام ارجنٹائن سے ہسپانوی زبان کے ایک مشہور کارٹون Mafalda سے متاثر ہے جو سیاسی موضوعات پر باقاعدگی سے تبصرہ کرتا ہے۔
Metador نے ہر شکار کے لیے منفرد IP ایڈریس مرتب کیے ہیں، اس بات کو یقینی بناتے ہوئے کہ اگر ایک کمانڈ اور کنٹرول کا انکشاف بھی ہو جائے تو باقی کا بنیادی ڈھانچہ فعال رہتا ہے۔ اس سے دوسرے متاثرین کو تلاش کرنا بھی انتہائی مشکل ہو جاتا ہے۔ اکثر ایسا ہوتا ہے کہ جب محققین حملے کے بنیادی ڈھانچے کا پردہ فاش کرتے ہیں، تو انہیں متعدد متاثرین سے متعلق معلومات ملتی ہیں - جو گروپ کی سرگرمیوں کی حد کو نقشہ بنانے میں مدد کرتی ہے۔ چونکہ Metador اپنی ٹارگٹ مہمات کو الگ رکھتا ہے، محققین کے پاس Metador کے آپریشنز اور گروپ کس قسم کے متاثرین کو نشانہ بنا رہا ہے اس کے بارے میں صرف ایک محدود نظریہ رکھتے ہیں۔
تاہم جو گروپ کو کوئی اعتراض نہیں ہے، وہ دوسرے حملہ آور گروپوں کے ساتھ گھل مل رہا ہے۔ محققین نے پایا کہ مشرق وسطیٰ کی ٹیلی کمیونیکیشن کمپنی جو میٹاڈور کے متاثرین میں سے ایک تھی، پہلے ہی کم از کم 10 دیگر قومی ریاستی حملہ آور گروہوں سے سمجھوتہ کر چکی تھی۔ بہت سے دوسرے گروپ چین اور ایران سے وابستہ نظر آئے۔
ایک ہی سسٹم کو نشانہ بنانے والے متعدد خطرے والے گروپوں کو بعض اوقات "خطرات کا مقناطیس" کہا جاتا ہے کیونکہ وہ بیک وقت مختلف گروپس اور میلویئر پلیٹ فارمز کو اپنی طرف متوجہ اور میزبانی کرتے ہیں۔ بہت سے قومی ریاستی اداکار دوسرے گروہوں کے ذریعے انفیکشن کے نشانات کو دور کرنے کے لیے وقت نکالتے ہیں، یہاں تک کہ ان خامیوں کو جو دوسرے گروپوں کی طرف سے استعمال کیا جاتا ہے، اپنی خود کی حملہ آور سرگرمیوں کو انجام دینے سے پہلے۔ سینٹینیل لیبز کے محققین نے کہا کہ حقیقت یہ ہے کہ میٹاڈور نے دوسرے گروپس کے ذریعہ پہلے سے سمجھوتہ (بار بار) سسٹم پر میلویئر کو متاثر کیا ہے اس سے پتہ چلتا ہے کہ گروپ کو اس بات کی پرواہ نہیں ہے کہ دوسرے گروپ کیا کریں گے۔
یہ ممکن ہے کہ ٹیلی کمیونیکیشن کمپنی ہائی ویلیو ٹارگٹ جیسا تھا کہ گروپ پتہ لگانے کا خطرہ مول لینے کو تیار تھا کیونکہ ایک ہی سسٹم پر متعدد گروپس کی موجودگی اس امکان کو بڑھا دیتی ہے کہ متاثرہ شخص کو کچھ غلط نظر آئے گا۔
شارک کا حملہ
اگرچہ یہ گروپ بہت اچھی طرح سے وسائل سے بھرا ہوا دکھائی دیتا ہے - جیسا کہ میلویئر کی تکنیکی پیچیدگی سے ظاہر ہوتا ہے، گروپ کی ایڈوانس آپریشنل سیکیورٹی کا پتہ لگانے سے بچنے کے لیے، اور حقیقت یہ ہے کہ یہ فعال ترقی کے تحت ہے - گیریرو-سعد نے خبردار کیا کہ یہ کافی نہیں تھا۔ اس بات کا تعین کرنے کے لیے کہ اس میں قومی ریاست کی شمولیت تھی۔ Geurrero-Saade نے کہا کہ یہ ممکن ہے کہ Metador کسی کنٹریکٹر کی پیداوار ہو جو کسی قومی ریاست کی جانب سے کام کر رہی ہو، کیونکہ اس بات کی نشانیاں موجود ہیں کہ یہ گروپ انتہائی پیشہ ور تھا۔ اور ممبران کو اس سطح پر اس قسم کے حملے کرنے کا پہلے تجربہ ہو سکتا ہے، اس نے نوٹ کیا۔
"ہم میٹاڈور کی دریافت کو پانی کی سطح کو توڑتے ہوئے شارک کے پنکھے کے مشابہ سمجھتے ہیں،" محققین نے لکھا کہ انہیں اس بات کا کوئی اندازہ نہیں ہے کہ نیچے کیا ہو رہا ہے۔ "یہ پیشگوئی کا ایک سبب ہے جو سیکیورٹی انڈسٹری کی ضرورت کو ثابت کرتا ہے کہ وہ خطرے کے اداکاروں کے حقیقی اوپری کرسٹ کا پتہ لگانے کے لئے فعال طور پر انجینئرنگ کرے جو فی الحال معافی کے ساتھ نیٹ ورکس کو عبور کرتے ہیں۔"
