وولٹ ٹائفون نے اہم انفراسٹرکچر کے خلاف بدنیتی پر مبنی سرگرمی کو بڑھا دیا۔

وولٹ ٹائفون نے اہم انفراسٹرکچر کے خلاف بدنیتی پر مبنی سرگرمی کو بڑھا دیا۔

ٹائم سٹیمپ: 11 جنوری 2024 5:49 PM
Volt Typhoon Ramps Up Malicious Activity Against Critical Infrastructure PlatoBlockchain Data Intelligence. Vertical Search. Ai.

چین کی حمایت یافتہ سائبر جاسوسی گروپ Volt Typhoon منظم طریقے سے اپنے حملے کے بنیادی ڈھانچے کو بڑھانے کے لیے ایک نفیس اور خفیہ مہم میں میراثی Cisco آلات کو نشانہ بنا رہا ہے۔

بہت سی مثالوں میں، دھمکی دینے والا اداکار، جو کہ اہم انفراسٹرکچر کو نشانہ بنانے کے لیے جانا جاتا ہے، 2019 سے راؤٹرز میں کچھ کمزوریوں کا فائدہ اٹھا رہا ہے، تاکہ ٹارگٹ ڈیوائسز کو توڑ کر ان پر کنٹرول حاصل کر سکے۔

امریکی اہم بنیادی ڈھانچے کے شعبوں کو نشانہ بنانا

سیکیورٹی سکور کارڈ کی تھریٹ انٹیلی جنس ٹیم کے محققین نے اس سرگرمی کو دیکھا جب حالیہ وینڈر پر کچھ فالو اپ تحقیقات کرتے ہوئے میڈیا کی رپورٹ وولٹ ٹائفون کے امریکی اہم بنیادی ڈھانچے کی تنظیموں کو توڑنے اور مستقبل میں ممکنہ رکاوٹوں کی بنیاد ڈالنے کے بارے میں۔ ان حملوں میں پانی کی سہولیات، بجلی فراہم کرنے والوں، نقل و حمل اور مواصلاتی نظام کو نشانہ بنایا گیا ہے۔ گروپ کے متاثرین میں امریکہ، برطانیہ اور آسٹریلیا کی تنظیمیں شامل ہیں۔

وینڈر کی رپورٹوں میں سے ایک، سے Lumen، پر مشتمل ایک بوٹ نیٹ بیان کیا۔ چھوٹے دفتر/ہوم آفس (SOHO) راؤٹرز کہ وولٹ ٹائفون - اور دیگر چینی خطرے والے گروپس - اعلی قدر والے نیٹ ورکس کے خلاف حملوں میں کمانڈ اینڈ کنٹرول (C2) نیٹ ورک کے طور پر استعمال کر رہے ہیں۔ Lumen نے رپورٹ میں جس نیٹ ورک کی وضاحت کی ہے وہ بنیادی طور پر Cisco، DrayTek، اور تھوڑی حد تک Netgear کے آخری زندگی کے راؤٹرز پر مشتمل ہے۔

SecurityScorecard کے محققین نے سمجھوتہ کے اشارے (IoCs) کا استعمال کیا جسے Lumen نے اپنی رپورٹ کے ساتھ جاری کیا تاکہ یہ دیکھا جا سکے کہ آیا وہ Volt Typhoon کی مہم سے وابستہ نئے انفراسٹرکچر کی شناخت کر سکتے ہیں۔ دی تحقیقات سیکیورٹی سکور کارڈ کے عملے کے خطرے کے محقق راب ایمز کا کہنا ہے کہ خطرہ گروپ کی سرگرمی پہلے کی سوچ سے کہیں زیادہ وسیع ہو سکتی ہے۔

مثال کے طور پر، ایسا لگتا ہے کہ وولٹ ٹائفون 30% — یا 325 میں سے 1,116 — زندگی کے اختتامی زندگی کے Cisco RV320/325 راؤٹرز سے زیادہ سے زیادہ سمجھوتہ کرنے کے لیے ذمہ دار ہے جنہیں SecurityScorecard نے 2 دن کی مدت میں C37 بوٹ نیٹ پر دیکھا۔ سیکورٹی وینڈر کے محققین نے 1 دسمبر 2023 اور 7 جنوری 2024 کے درمیان سمجھوتہ شدہ Cisco ڈیوائسز اور معروف وولٹ ٹائفون انفراسٹرکچر کے درمیان باقاعدہ رابطوں کا مشاہدہ کیا، جو ایک بہت ہی فعال آپریشن کا مشورہ دیتے ہیں۔

سیکیورٹی سکور کارڈ کی کھدائی میں وولٹ ٹائفون کو "fy.sh" تعینات کرتے ہوئے بھی دکھایا گیا، جو اب تک کا ایک نامعلوم ویب شیل Cisco راؤٹرز اور دیگر نیٹ ورک ایج ڈیوائسز پر ہے جسے گروپ فی الحال نشانہ بنا رہا ہے۔ اس کے علاوہ، سیکیورٹی سکور کارڈ متعدد نئے آئی پی ایڈریسز کی شناخت کرنے کے قابل تھا جو وولٹ ٹائفون کی سرگرمی سے منسلک دکھائی دیتے تھے۔

ایمز کا کہنا ہے کہ "SecurityScorecard کا استعمال کیا گیا پہلے سے گردش شدہ IoCs جو Volt Typhoon سے منسلک ہیں ان نئے کمپرومائزڈ ڈیوائسز کی شناخت کے لیے جو ہم نے مشاہدہ کیا، پہلے سے غیر متعینہ ویب شیل (fy.sh)، اور دوسرے IP ایڈریس جو نئے IoCs کی نمائندگی کر سکتے ہیں،" ایمز کہتے ہیں۔

زمین سے باہر رہنے والے سائبر حملے

وولٹ ٹائفون ایک خطرہ گروپ ہے جو کہ یو ایس سائبر سیکیورٹی اینڈ انفراسٹرکچر ایجنسی (CISA) امریکہ کے اہم بنیادی ڈھانچے کے شعبوں کو نشانہ بنانے والے ریاستی سرپرستی میں چینی دھمکی آمیز اداکار کے طور پر شناخت کیا گیا ہے۔ مائیکروسافٹمئی 2023 میں اس گروپ کے بارے میں سب سے پہلے رپورٹ کرنے والے، نے اسے کم از کم مئی 2021 سے فعال ہونے، چین میں مقیم ہونے، اور زمین سے باہر رہنے والی متعدد تکنیکوں کا استعمال کرتے ہوئے بڑے پیمانے پر سائبر جاسوسی کرنے کے طور پر بیان کیا ہے۔ کمپنی نے گروپ کو مستقبل کے ممکنہ تنازعات کے دوران امریکہ اور ایشیا کے درمیان اہم مواصلاتی صلاحیتوں میں خلل ڈالنے کی صلاحیتوں کے طور پر تشخیص کیا ہے۔

ایمز کا کہنا ہے کہ ڈیٹا کی منتقلی کے لیے وولٹ ٹائفون کا سمجھوتہ کرنے والے راؤٹرز کا استعمال اسٹیلتھ کے لیے گروپ کے عزم کا ایک اشارہ ہے۔

وہ کہتے ہیں، "یہ گروپ اکثر اپنی ٹریفک کو ان آلات کے ذریعے روٹ کرتا ہے تاکہ جغرافیائی بنیاد پر پتہ لگانے سے بچنے کے لیے جب سمجھوتہ کیے گئے راؤٹرز کی طرح اسی علاقے میں تنظیموں کو نشانہ بنایا جا سکے۔" "ان تنظیموں میں بدنیتی پر مبنی سرگرمی دیکھنے کا امکان کم ہو سکتا ہے اگر ایسا لگتا ہے کہ اس میں شامل ٹریفک اس علاقے سے شروع ہوتی ہے جس میں تنظیم قائم ہے۔"

سائبر ٹارگٹنگ کے خطرے سے دوچار اینڈ آف لائف گیئر

ایمز کا کہنا ہے کہ وولٹ ٹائفون کا زندگی کے اختتامی آلات کو نشانہ بنانا بھی حملہ آور کے نقطہ نظر سے کافی معنی رکھتا ہے۔ CVSS اسکیل پر 35 میں سے کم از کم 9 کی شدت کی درجہ بندی کے ساتھ تقریباً 10 معلوم اہم خطرات ہیں — جن میں CISA کے Known Exploited Vulnerabilities کیٹلوگ میں سے دو — Cisco RV320 راؤٹرز سے وابستہ ہیں جنہیں Volt Typhoon نشانہ بنا رہا ہے۔ Cisco نے تین سال پہلے جنوری 2021 میں ٹیکنالوجی کے لیے بگ فکسز، مینٹیننس ریلیزز، اور مرمت جاری کرنا بند کر دیا تھا۔ Cisco ڈیوائسز کے علاوہ، Volt Typhoon-linked botnet میں سمجھوتہ شدہ میراثی DrayTek Vigor اور Netgear ProSafe راؤٹرز بھی شامل ہیں۔

ایمز کا کہنا ہے کہ "خود آلات کے نقطہ نظر سے، وہ کم لٹکنے والے پھل ہیں۔" "چونکہ 'زندگی کے اختتام' کا مطلب یہ ہے کہ ڈیوائسز کے پروڈیوسر ان کے لیے مزید اپ ڈیٹس جاری نہیں کریں گے، اس لیے ان پر اثر انداز ہونے والی کمزوریوں کا ازالہ نہیں کیا جا سکتا ہے، جس سے آلات سمجھوتے کا شکار ہو جائیں گے۔"

کریٹیکل سٹارٹ میں سائبر تھریٹ ریسرچ کے سینئر مینیجر کالی گوینتھر کا کہنا ہے کہ وولٹ ٹائفون کا آخری زندگی کے سسکو راؤٹرز کا اسٹریٹجک ہدف، fy.sh جیسے کسٹم ٹولز کی ترقی، اور اس کی جغرافیائی اور سیکٹرل ٹارگٹنگ ایک انتہائی نفیس آپریشن کی تجویز کرتی ہے۔

گوینتھر کا کہنا ہے کہ "میراثی نظاموں پر توجہ مرکوز کرنا خطرے کے اداکاروں کے درمیان ایک عام حربہ نہیں ہے، بنیادی طور پر اس لیے کہ اس کے لیے پرانے سسٹمز اور ان کی کمزوریوں کے بارے میں مخصوص معلومات کی ضرورت ہوتی ہے، جو شاید وسیع پیمانے پر معلوم یا دستاویزی نہ ہو"۔ "تاہم، یہ ایک بڑھتا ہوا رجحان ہے، خاص طور پر ریاستی سرپرستی میں چلنے والے اداکاروں میں جن کے پاس وسائل اور حوصلہ افزائی ہے کہ وہ وسیع پیمانے پر جاسوسی کرنے اور موزوں کارناموں کو تیار کریں۔"

مثال کے طور پر، وہ متعدد دھمکی آمیز اداکاروں کی طرف اشارہ کرتی ہیں جو نام نہاد کو نشانہ بناتے ہیں۔ لہر 20 کمزوریاں۔ ایک TCP/IP اسٹیک میں جس نے پرانے VPN پروڈکٹس میں خامیوں کو نشانہ بنانے والے لاکھوں پرانے IoT آلات کے ساتھ ساتھ چینی اور ایرانی خطرے والے گروپس کو متاثر کیا۔

ٹائم اسٹیمپ:

سے زیادہ گہرا پڑھنا