روسی سولر ونڈز کے مجرموں نے جاسوسی سائبر حملوں کی تازہ بیراج کا آغاز کیا

یوکرین پر اپنے جاری حملے کے ایک حصے کے طور پر، روسی انٹیلی جنس نے ایک بار پھر ہیکر گروپ Nobelium/APT29 کی خدمات حاصل کی ہیں، اس بار نیٹو کی رکن ریاستوں کی وزارت خارجہ اور سفارت کاروں کے ساتھ ساتھ یورپی یونین اور افریقہ میں دیگر اہداف کی جاسوسی کے لیے۔ .

یہ وقت کینیڈا کے بنیادی ڈھانچے پر حملوں کی ایک لہر کے ساتھ بھی شامل ہے، جس کا تعلق روس سے بھی ہے۔

پولش ملٹری کاؤنٹر انٹیلی جنس سروس اور پولینڈ میں CERT ٹیم نے 13 اپریل کو سمجھوتہ کے اشارے کے ساتھ ایک الرٹ جاری کیا، جس میں جاسوسی مہم کے ممکنہ اہداف کو خطرے کے بارے میں خبردار کیا گیا۔ نوبلیمجیسا کہ گروپ مائیکروسافٹ کے ذریعہ نامزد کیا گیا ہے، اس کا نام بھی ہے۔ APT29 بذریعہ مینڈینٹقومی ریاستی جاسوسی کے کھیل میں کوئی نئی بات نہیں ہے، بدنام زمانہ کے پیچھے یہ گروہ تھا سولر ونڈز کا سپلائی چین حملہ تقریبا تین سال پہلے.

اب، APT29 میلویئر ٹولز کے مکمل نئے سیٹ کے ساتھ واپس آ گیا ہے اور یوکرین کے حامی ممالک کے سفارتی دستوں میں دراندازی کے مارچ کے احکامات کی اطلاع دی گئی ہے، پولش فوج اور CERT الرٹ نے وضاحت کی۔

APT29 نئے آرڈرز کے ساتھ واپس آ گیا ہے۔

پولینڈ کے الرٹ کے مطابق، ہر مثال میں، ایڈوانسڈ پرسسٹنٹ خطرہ (APT) اپنے حملے کا آغاز ایک اچھی طرح سے تصور شدہ سپیئر فریشنگ ای میل سے کرتا ہے۔

"یورپی ممالک کے سفارت خانوں کی نقالی کرنے والی ای میلز سفارتی عہدوں پر منتخب اہلکاروں کو بھیجی گئیں،" حکام نے وضاحت کی۔ "خط و کتابت میں میٹنگ یا دستاویزات پر مل کر کام کرنے کی دعوت تھی۔"

اس کے بعد پیغام وصول کنندہ کو ہدایت کرے گا کہ وہ لنک پر کلک کرے یا پی ڈی ایف ڈاؤن لوڈ کر کے سفیر کے کیلنڈر تک رسائی حاصل کرے، یا میٹنگ کی تفصیلات حاصل کرے — دونوں اہداف کو خطرے والے گروپ کے "دستخطی اسکرپٹ" سے بھری ہوئی ایک بدنیتی پر مبنی سائٹ پر بھیجتے ہیں، جس کی رپورٹ میں شناخت کی گئی ہے۔ "حسد۔"

"میںt ایچ ٹی ایم ایل اسمگلنگ تکنیک کا استعمال کرتا ہے - جس کے تحت صفحہ پر رکھی گئی ایک بدنیتی پر مبنی فائل کو جاوا اسکرپٹ کا استعمال کرتے ہوئے ڈی کوڈ کیا جاتا ہے جب صفحہ کھولا جاتا ہے اور پھر متاثرہ کے آلے پر ڈاؤن لوڈ کیا جاتا ہے،" پولش حکام نے مزید کہا۔ "اس سے نقصان دہ فائل کا پتہ لگانا زیادہ مشکل ہو جاتا ہے سرور کی طرف جہاں اسے محفوظ کیا جاتا ہے۔"

الرٹ میں کہا گیا ہے کہ بدنیتی پر مبنی سائٹ اہداف کو ایک پیغام بھی بھیجتی ہے جس میں انہیں یقین دلایا جاتا ہے کہ انہوں نے درست فائل ڈاؤن لوڈ کی ہے۔

سلیش نیکسٹ کے سی ای او پیٹرک ہار، ڈارک ریڈنگ کو مہم کے بارے میں بتاتے ہیں، "اسپیئر فشنگ حملے اس وقت کامیاب ہوتے ہیں جب مواصلات اچھی طرح سے لکھے جاتے ہیں، ہدف سے واقفیت کا مظاہرہ کرنے کے لیے ذاتی معلومات کا استعمال کرتے ہیں، اور کسی جائز ذریعہ سے آتے ہیں۔" "یہ جاسوسی مہم کامیابی کے تمام معیارات پر پورا اترتی ہے۔"

ایک فشنگ ای میلمثال کے طور پر، پولش سفارت خانے کی نقالی کی گئی، اور دلچسپ بات یہ ہے کہ مشاہدہ کی گئی مہم کے دوران، Envyscout ٹول کو مبہم بہتری کے ساتھ تین بار ٹوئیک کیا گیا، پولش حکام نے نوٹ کیا۔

ایک بار سمجھوتہ کرنے کے بعد، گروپ Snowyamber ڈاؤنلوڈر، Halfrig کے تبدیل شدہ ورژن استعمال کرتا ہے، جو چلتا ہے کوبالٹ اسٹرائیک ایمبیڈڈ کوڈ کے طور پر، اور Quarterrig، جو Halfrig کے ساتھ کوڈ کا اشتراک کرتا ہے، پولش الرٹ نے کہا۔

"ہم ان حملوں میں اضافہ دیکھ رہے ہیں جہاں برا اداکار کامیابی کو ایڈجسٹ کرنے اور بہتر بنانے کے لیے مہم میں متعدد مراحل کا استعمال کرتا ہے،" ہار نے مزید کہا۔ "وہ آٹومیشن اور مشین لرننگ تکنیکوں کو استعمال کرتے ہیں تاکہ اس بات کی نشاندہی کی جا سکے کہ کیا پتہ لگانے سے بچ رہا ہے اور کامیابی کو بہتر بنانے کے لیے بعد میں ہونے والے حملوں میں ترمیم کرتے ہیں۔"
پولش سائبر سیکیورٹی حکام کے مطابق حکومتوں، سفارت کاروں، بین الاقوامی تنظیموں، اور غیر سرکاری تنظیموں (این جی اوز) کو اس کے لیے اور روسی جاسوسی کی دیگر کوششوں کے لیے ہائی الرٹ رہنا چاہیے۔

"ملٹری کاؤنٹر انٹیلی جنس سروس اور CERT.PL پرزور مشورہ دیتے ہیں کہ وہ تمام ادارے جو اداکار کی دلچسپی کے علاقے میں ہو سکتے ہیں کنفیگریشن تبدیلیاں لاگو کریں تاکہ ڈیلیوری میکانزم میں خلل ڈالا جائے جو بیان کردہ مہم میں استعمال کیا گیا تھا،" حکام نے کہا۔

کینیڈا کے انفراسٹرکچر پر روس سے منسلک حملے

پولینڈ کے سائبرسیکیوریٹی حکام کی وارننگ کے علاوہ، گزشتہ ہفتے کے دوران، کینیڈا کے وزیر اعظم جسٹن ٹروڈو نے ایک حالیہ سلسلہ کے بارے میں عوامی بیانات دیے۔ روس سے منسلک سائبر حملے جس کا مقصد کینیڈا کے بنیادی ڈھانچے سمیت انکار کی سروس کے حملے ہائیڈرو پرکیوبیک، الیکٹرک یوٹیلیٹی، ٹروڈو کے دفتر کے لیے ویب سائٹ، پورٹ آف کیوبک، اور لارینٹین بینک۔ ٹروڈو نے کہا کہ سائبر حملوں کا تعلق کینیڈا کی یوکرین کی حمایت سے ہے۔

"ٹروڈو نے کہا کہ سرکاری ویب سائٹس پر سروس سے انکار کے چند حملے، انہیں چند گھنٹوں کے لیے نیچے لانا، ہمیں یوکرین کی حمایت کے لیے جو کچھ بھی کرنا پڑے وہ کرنے کے اپنے غیر واضح موقف پر نظر ثانی کرنے کا سبب نہیں بنے گا۔ , رپورٹس کے مطابق.

کینیڈین سینٹر فار سائبر سیکیورٹی کے سربراہ، سمیع خوری نے گزشتہ ہفتے ایک نیوز کانفرنس میں کہا تھا کہ اگرچہ کینیڈا کے بنیادی ڈھانچے کو کوئی نقصان نہیں پہنچا ہے، "خطرہ حقیقی ہے۔""اگر آپ ایسے اہم نظام چلاتے ہیں جو ہماری کمیونٹیز کو طاقت دیتے ہیں، تو انٹرنیٹ پیش کرتے ہیں۔ کینیڈینوں تک رسائی، صحت کی دیکھ بھال فراہم کرنا، یا عام طور پر کسی بھی ایسی خدمات کو چلانا جن کے بغیر کینیڈین نہیں کر سکتے، آپ کو اپنے سسٹم کی حفاظت کرنی چاہیے،" خوری نے کہا۔ "اپنے نیٹ ورکس کی نگرانی کریں۔ تخفیف کا اطلاق کریں۔"

روس کی سائبر کرائم کی کوششیں جاری ہیں۔

یوکرین پر روس کے حملے کے دوسرے سال کے دوران، مائیک پارکن کا ولکن سائبر کے ساتھ کہنا ہے کہ حالیہ مہمات کو شاید ہی کوئی تعجب ہو۔

"سائبرسیکیوریٹی کمیونٹی یوکرین میں تنازعہ شروع ہونے کے بعد سے ہونے والے نقصانات اور نقصانات کو دیکھ رہی ہے، اور ہم جانتے ہیں کہ روسی اور روس نواز دھمکی آمیز اداکار مغربی اہداف کے خلاف سرگرم تھے۔" پارکن کہتے ہیں۔ "سائبر کرائمینل سرگرمیوں کی سطحوں پر غور کرتے ہوئے جن سے ہم پہلے ہی نمٹ رہے تھے، [یہ ہیں] صرف کچھ نئے ٹولز اور نئے اہداف — اور اس بات کو یقینی بنانے کے لیے ایک یاد دہانی کہ ہمارے دفاع تازہ ترین اور مناسب طریقے سے ترتیب دیے گئے ہیں۔

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو بلاک چین۔ Web3 Metaverse Intelligence. علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• ایڈریین ایشلے کے ساتھ مستقبل کا نقشہ بنانا۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.darkreading.com/vulnerabilities-threats/russian-intel-services-behind-barrage-espionage-cyberattacks