روسی اے پی ٹی نے ایسڈ رین وائپر میلویئر کا مزید مہلک ورژن جاری کیا۔

محققین نے فروری 2022 میں ملک پر روس کے حملے سے عین قبل یوکرین میں سیٹلائٹ براڈ بینڈ سروس کو متاثر کرنے کے لیے روسی ملٹری انٹیلی جنس کے ذریعے استعمال کیے جانے والے وائپر میلویئر کے ایک زیادہ خطرناک اور پرکشش ورژن کا پردہ فاش کیا ہے۔

نیا ورژن، "تیزاب ڈالنا،” اپنے پیشرو کے ساتھ متعدد مماثلتیں رکھتا ہے لیکن اسے X86 فن تعمیر کے لیے مرتب کیا گیا ہے، ایسڈ رین کے برعکس جس نے MIPS پر مبنی نظاموں کو نشانہ بنایا۔ سینٹینیل ون کے محققین کے مطابق جنہوں نے خطرہ دریافت کیا، اس نئے وائپر میں ایسڈ رین کے مقابلے میں نمایاں طور پر وسیع اہداف کے خلاف اس کے استعمال کی خصوصیات بھی شامل ہیں۔

وسیع تر تباہ کن صلاحیتیں۔

سینٹینیل ون کے سینئر خطرے کے محقق ٹام ہیگل کا کہنا ہے کہ "AcidPour کی توسیع شدہ تباہ کن صلاحیتوں میں Linux Unsorted Block Image (UBI) اور Device Mapper (DM) منطق شامل ہے، جو ہینڈ ہیلڈز، IoT، نیٹ ورکنگ، یا بعض صورتوں میں، ICS ڈیوائسز کو متاثر کرتی ہے۔" "اسٹوریج ایریا نیٹ ورکس (SANs)، نیٹ ورک منسلک اسٹوریج (NAS)، اور وقف شدہ RAID arrays جیسے آلات بھی اب AcidPour کے اثرات کے دائرہ کار میں ہیں۔"

ہیگل کا کہنا ہے کہ ایسڈ پور کی ایک اور نئی صلاحیت ایک خود کو حذف کرنے کا فنکشن ہے جو میلویئر کے تمام نشانات کو ان سسٹمز سے مٹا دیتا ہے جو اسے متاثر کرتے ہیں۔ AcidPour مجموعی طور پر AcidRain کے مقابلے میں ایک نسبتاً زیادہ نفیس وائپر ہے، وہ کہتے ہیں کہ اس کے مجموعی طور پر ڈھیلے پن کی مثال کے طور پر بعد میں پروسیس فورکنگ کے ضرورت سے زیادہ استعمال اور بعض آپریشنز کی غیرضروری تکرار کی طرف اشارہ کیا گیا۔

سینٹینیل ون نے فروری 2022 میں سائبر حملے کے بعد ایسڈ رین کو دریافت کیا تقریباً 10,000 سیٹلائٹ موڈیم آف لائن دستک دیے۔ مواصلات فراہم کرنے والے Viasat کے KA-SAT نیٹ ورک سے وابستہ ہے۔ اس حملے نے یوکرین میں ہزاروں صارفین اور یورپ میں دسیوں ہزار لوگوں کے لیے صارفین کی براڈ بینڈ سروس کو متاثر کیا۔ سینٹینیل ون نے یہ نتیجہ اخذ کیا کہ مالویئر ممکنہ طور پر سینڈ ورم (عرف اے پی ٹی 28، فینسی بیئر، اور سوفیسی) سے وابستہ ایک گروپ کا کام تھا، جو اس کے لیے ذمہ دار ایک روسی آپریشن تھا۔ متعدد خلل ڈالنے والے سائبر حملے یوکرائن میں

سینٹینیل ون کے محققین نے پہلی بار 16 مارچ کو ایسڈ پور کی نئی شکل دیکھی تھی لیکن ابھی تک کسی نے اسے حقیقی حملے میں استعمال کرتے ہوئے نہیں دیکھا۔

سینڈورم ٹائیز

وائپر کے ان کے ابتدائی تجزیے سے ایسڈ رین کے ساتھ متعدد مماثلتوں کا انکشاف ہوا - جس کے بعد کے گہرے غوطے نے تصدیق کی۔ SentinelOne نے جن قابل ذکر اوورلیپس کو دریافت کیا ان میں AcidPour کا AcidRain جیسا ہی ریبوٹ میکانزم کا استعمال، اور بار بار ڈائریکٹری وائپنگ کے لیے ایک جیسی منطق شامل تھی۔

SentinelOne نے AcidPour کے IOCTL پر مبنی وائپنگ میکانزم کو بھی وہی پایا جو AcidRain اور VPNFilter میں مسح کرنے کا طریقہ کار ہے۔ ماڈیولر حملہ پلیٹ فارم جو کہ امریکی محکمہ انصاف کے پاس ہے۔ سینڈورم سے منسلک. IOCTL آلہ کو مخصوص کمانڈز بھیج کر اسٹوریج ڈیوائسز سے ڈیٹا کو محفوظ طریقے سے مٹانے یا صاف کرنے کا ایک طریقہ کار ہے۔

"AcidPour کے سب سے دلچسپ پہلوؤں میں سے ایک اس کا کوڈنگ سٹائل ہے، جو عملی کی یاد دلاتا ہے کیڈی وائپر قابل ذکر مالویئر جیسے یوکرائنی اہداف کے خلاف وسیع پیمانے پر استعمال کیا جاتا ہے۔ صنعت کار 2سینٹینیل ون نے کہا۔ CaddyWiper اور Industroyer 2 دونوں مالویئر ہیں جو روس کے حمایت یافتہ ریاستی گروپوں کے ذریعے یوکرین میں تنظیموں پر تباہ کن حملوں میں استعمال کیے جاتے ہیں، یہاں تک کہ فروری 2022 میں ملک پر روس کے حملے سے پہلے۔

سینٹینیل ون نے کہا کہ یوکرین کے سی ای آر ٹی نے ایسڈ پور کا تجزیہ کیا ہے اور اسے UAC-0165 سے منسوب کیا ہے، جو کہ سینڈ ورم گروپ کا حصہ ہے۔

AcidPour اور AcidRain ان متعدد وائپرز میں سے ہیں جنہیں روسی اداکاروں نے حالیہ برسوں میں یوکرائنی اہداف کے خلاف تعینات کیا ہے — اور خاص طور پر دونوں ممالک کے درمیان موجودہ جنگ کے آغاز کے بعد۔ اگرچہ دھمکی آمیز اداکار Viasat حملے میں ہزاروں موڈیمز کو آف لائن دستک دینے میں کامیاب ہو گیا تھا، لیکن کمپنی میلویئر کو ہٹانے کے بعد انہیں بحال کرنے اور دوبارہ تعینات کرنے میں کامیاب رہی۔

بہت سی دوسری صورتوں میں، اگرچہ، تنظیموں کو وائپر حملے کے بعد سسٹمز کو ضائع کرنے پر مجبور کیا گیا ہے۔ سب سے قابل ذکر مثالوں میں سے ایک 2012 ہے۔ شمون سعودی آرامکو پر وائپر حملہ جس نے کمپنی کے تقریباً 30,000 سسٹم کو تباہ کر دیا۔

جیسا کہ شمون اور ایسڈ رین کا معاملہ تھا، دھمکی دینے والے اداکاروں کو عام طور پر وائپرز کو موثر بنانے کے لیے جدید ترین بنانے کی ضرورت نہیں ہوتی ہے۔ اس کی وجہ یہ ہے کہ میلویئر کا واحد کام سسٹمز سے ڈیٹا کو اوور رائٹ یا ڈیلیٹ کرنا اور انہیں بیکار رینڈر کرنا ہے۔ مبہم حکمت عملی اور ڈیٹا کی چوری اور سائبر جاسوسی کے حملوں سے وابستہ مبہم تکنیکیں ضروری نہیں ہیں۔

وائپرز کے لیے بہترین دفاع — یا ان سے ہونے والے نقصان کو محدود کرنا — اسی قسم کے دفاع کو نافذ کرنا ہے جیسا کہ رینسم ویئر کے لیے۔ اس کا مطلب ہے کہ اہم ڈیٹا کے لیے بیک اپ رکھنا اور واقعے کے ردعمل کے مضبوط منصوبوں اور صلاحیتوں کو یقینی بنانا۔

نیٹ ورک کی تقسیم بھی کلیدی حیثیت رکھتی ہے کیونکہ وائپرز اس وقت زیادہ موثر ہوتے ہیں جب وہ دوسرے سسٹمز میں پھیلنے کے قابل ہوتے ہیں، اس لیے اس قسم کی دفاعی کرنسی پس منظر کی حرکت کو روکنے میں مدد کرتی ہے۔

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
• پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
• پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-releases-more-deadly-variant-of-acidrain-wiper-malware