ایف بی آئی اور این ایس اے نے نیو لینکس مال ویئر سے خبردار کیا

ایک مشترکہ میں رپورٹ فیڈرل بیورو آف انویسٹی گیشن (ایف بی آئی) اور نیشنل سیکیورٹی ایجنسی (این ایس اے) کے ذریعہ دارووورب نامی ایک پہلے سے غیر رپورٹ شدہ میلویئر سے متعلق معلومات عوام کے لئے جاری کردی گئیں۔ میلویئر کی ذمہ داری دونوں ایجنسیوں نے اے پی ٹی 28 سے منسوب کی ہے ، ایک گروہ جس میں مختلف قسم کے کوڈ نام ہیں لیکن بطور ٹریک فینسی ریچھ ، اس اشاعت کے ذریعہ اس رپورٹ میں کسی کے ل technical بھی تکنیکی معلومات موجود ہیں جو کسی لروکس کے انفیکشن کا شکار ہونے سے بچنے کے ل Linux اپنے لینکس سسٹم کو سخت بنانے کی ضرورت ہے۔

میلویئر کو خود بھی ' سوئٹزر لینڈ کی آرمی کا چاقو ”چونکہ یہ ایک ملٹی جزو والا میلویئر ہے۔ میلویئر ایک امپلانٹ ، ایک دانا ماڈیول روٹ کٹ ، فائل ٹرانسفر ٹول ، پورٹ فارورڈنگ ماڈیول ، اور کمانڈ اینڈ کنٹرول (سی 2) سرور پر مشتمل ہے۔ اس سے میلویئر مختلف طرح کے کام انجام دینے کے قابل بناتا ہے ، بشمول ڈیٹا چوری کرنا اور متاثرہ نظام کو دور سے کنٹرول کرنا۔ میلویئر ایک اعلی سطحی چپکے کو حاصل کرتا ہے اور اس کا پتہ لگانا بہت مشکل ہے ، جو مالویئر کو ایڈوانس کے استعمال کے ذریعہ دیا جاتا ہے روٹ کٹ . ایک روٹ کٹ عام طور پر بدنیتی پر مبنی کوڈ کے ٹکڑوں کے طور پر بیان کی جاتی ہے جو سسٹم تک مراعات یافتہ رسائی حاصل کرکے متاثرہ نظام تک جڑ تک رسائی حاصل کرتی ہے۔ وہاں سے وہ متعدد کام انجام دینے کے ل be استعمال کیے جاسکتے ہیں جن میں کیلگنگ ، فائل چوری ، اینٹی وائرس مصنوعات کو ناکارہ بنانا ، اور ریاست کے زیر اہتمام گروپوں کے ذریعہ اختیار کردہ دیگر کاروائیاں شامل ہیں۔ ڈرووروب کے معاملے میں ، روٹ کٹ مالویئر کو بوٹ اپ کرنے کی اجازت دیتا ہے جس سے متاثرہ نیٹ ورک میں مزید استقامت کا اضافہ ہوتا ہے ، کیوں کہ بہت سارے دوسرے میلویئر خاندانوں کے برعکس ، میلویئر سسٹم کے دوبارہ شروع ہونے سے بچ پائے گا۔ مزید یہ کہ اس طرح کے جدید روٹ کٹ کے استعمال سے فینسی بیئر کو کسی بھی وقت حملے کرنے کے ساتھ ساتھ مختلف اہداف کو متاثر کرنے کا موقع ملتا ہے۔

اگرچہ دونوں ایجنسیوں کی جاری کردہ رپورٹ میں مخصوص اہداف کا ذکر نہیں کیا گیا ہے ، تاہم ، یہ محفوظ طور پر یہ سمجھا جاسکتا ہے کہ شمالی امریکہ میں تنظیموں کو نشانہ بنایا جائے گا کیونکہ وہ ہر طرح کے ہیکرز کے لئے مواقع کی دولت کو پیش کرتے ہیں ، چاہے وہ ریاست کے زیر اہتمام ہوں یا مالی طور پر متحرک ہوں۔ . خدشہ ہے کہ مالویئر کی چوری اور افادیت پسندی کی وجہ سے اسے سائبر جاسوس اور انتخابی مداخلت میں استعمال کیا جاسکتا ہے۔

ایف بی آئی اور این ایس اے نے ڈرووروب لینکس مالویئر کے بارے میں انتباہ کیا

45 صفحوں پر مشتمل اس رپورٹ میں کئی اہم تفصیلات کی تفصیل دی گئی ہے ، جس میں مزید دلچسپ حصوں کا خلاصہ یہاں دوبارہ پیش کیا جارہا ہے۔ میلویئر کا نام ایف بی آئی یا این ایس اے نے نہیں رکھا ہے اور یہ نام فینسی بیئر کے ذریعہ استعمال ہوتا ہے اور اس کا لکڑوٹ کاٹنے کے بارے میں بھی اس کا تقریبا ترجمہ کیا جاسکتا ہے۔ ہینکروں نے متعدد مہمات کے دوران سرورز کو دوبارہ استعمال کرتے ہوئے فینسی بیئر پر میلویئر کی شراکت ممکن کی تھی ، جس میں ایک آپریشن ڈرووورب تقسیم کرتے دیکھا گیا تھا۔

ڈرووورب IOTT آلات کو نشانہ بناتے تھے

فینسی بیئر کو عادت ہے کہ 2019 کے اوائل میں مائیکرو سافٹ کے انٹرنیٹ ، چیزوں (IOT) کے آلات کو نشانہ بنائیں نازل کیا IoT آلات کو متاثر کرنے کی صلاحیت رکھنے والی ایک مہم۔ اسی سال میں ، مائیکروسافٹ ایک بار پھر بے نقاب ایک اور مہم جو IOT آلات کو نشانہ بناتی ہے۔ اگلی مہم کے بعد کی تفصیلات کا انکشاف اگست میں ہوا تھا ، لیکن محققین کے مطابق ، فینسی بیئر کی سرگرمی کا پتہ اپریل کے مہینے میں لگایا جاسکتا ہے جس کے ذریعے گروپ نے متعدد IoT آلات سے سمجھوتہ کرنے کی کوشش کی تھی۔ آلات میں ایک VOIP فون ، آفس پرنٹر ، اور ایک ویڈیو ڈیکوڈر شامل تھا۔ جس وقت ریڈمنڈ کے آئی ٹی دیو نے بیان کیا ،

“تفتیش سے معلوم ہوا کہ ایک اداکار نے کارپوریٹ نیٹ ورکس تک ابتدائی رسائی حاصل کرنے کے لئے ان آلات کو استعمال کیا تھا۔ دو صورتوں میں ، آلات کے پاس ورڈز کو پہلے سے طے شدہ مینوفیکچرر کے پاس ورڈ کو تبدیل کیے بغیر تعینات کیا گیا تھا اور تیسری مثال میں اس تازہ ترین حفاظتی اپ ڈیٹ کا اطلاق اس آلے پر نہیں کیا گیا تھا۔ IOT آلات میں سے ہر ایک تک رسائی حاصل کرنے کے بعد ، اداکار مقامی subnets پر نیٹ ورک ٹریفک کو سونگھنے کے لئے tcpdump چلایا۔ انہیں انتظامی استحصال کرنے والے گروپوں کو مزید استحصال کی کوشش کرنے کے لئے بھی شامل کرتے دیکھا گیا۔ چونکہ اداکار ایک آلہ سے دوسرے آلے میں منتقل ہوا ، وہ نیٹ ورک پر استقامت قائم کرنے کے لئے ایک آسان شیل اسکرپٹ چھوڑ دیتے جس کی وجہ سے شکار کو بڑھنے تک رسائی میں توسیع ہوجاتی ہے۔

ان مثال کے طور پر کم از کم ایک مثال میں ایف بی آئی اور این ایس اے دونوں کے مطابق ، ایسا لگتا ہے کہ ڈرووروب تعینات تھا۔ مہم اور مالویئر کے مابین رابطہ اس دریافت کے بعد بنایا گیا تھا کہ وہی IP ایڈریس استعمال کیا گیا تھا جو اس سے قبل مائیکرو سافٹ نے دستاویز کیا تھا۔ ایجنسیوں نے مائیکروسافٹ کے نتائج کی تصدیق کی ، نوٹ کرتے ہوئے ،

جی ٹی ایس ایس سے این ایس اے اور ایف بی آئی کی وابستگی کے علاوہ ، آپریشنل ڈرووورب کمانڈ اور کنٹرول انفراسٹرکچر عوامی طور پر جانا جاتا جی ٹی ایس ایس آپریشنل سائبر انفراسٹرکچر کے ساتھ وابستہ رہا ہے۔ ایک مثال کے طور پر ، 5 اگست ، 2019 کو ، مائیکروسافٹ سیکیورٹی رسپانس سنٹر نے اپریل 2019 میں انٹرنیٹ آف چیزوں (IoT) آلات کے استحصال کے سلسلے میں IP پتے 82.118.242.171 سے منسلک معلومات شائع کیں۔ (مائیکروسافٹ سیکیورٹی رسپانس سینٹر ، 2019) (مائیکروسافٹ ، 2019) این ایس اے اور ایف بی آئی نے تصدیق کی ہے کہ اپریل 2019 میں ڈراورورب سی 2 آئی پی ایڈریس 185.86.149.125 تک رسائی حاصل کرنے کے لئے بھی یہی IP ایڈریس استعمال کیا گیا تھا۔ '

دونوں امریکی ایجنسیوں کے ذریعہ شائع ہونے والی اس رپورٹ میں مالویئر کی تکنیکی تفصیلات کے بارے میں بڑی تفصیل دی گئی ہے۔ اس میں اتار چڑھاؤ کو چلانے ، فائلوں سے چھپنے والے سلوک کی جانچ ، سورنٹ کے قواعد ، اور ایڈمنسٹریٹرز کے لئے یارا قوانین کا پتہ لگانے کے مناسب طریقے تیار کرنے اور نیٹ ورکس کی حفاظت کے لئے رہنمائی شامل ہے۔ نیز ، سیکیورٹی فرم میکفی شائع ہوا روٹ کٹس کو اسکین کرنے اور لینکس کے دانا کو انفیکشن کا شکار کرنے کے لئے سخت حفاظتی اقدامات اور سفارشات کے ساتھ ایک بلاگ مضمون۔ ریاست کے زیر اہتمام گروپوں کے ذریعہ دفاعی نیٹ ورکس پر لگائے جانے والے ان تمام افراد کے ل these ، ان رپورٹس کو ضروری پڑھنے کے طور پر سمجھا جانا چاہئے۔ روک تھام کے اقدامات کے ل above ، مذکورہ ایجنسیوں کو ایڈمنس ایڈمنس کو لینکس کرنل کو ورژن 3.7 یا بعد میں اپ ڈیٹ کرنا چاہئے۔ یہ OS کی خصوصیت سے فائدہ اٹھانا ہے جو کارنل پر دستخط کرنے والے نفاذ کو نافذ کرتا ہے۔ مزید یہ کہ ، منتظمین کو سسٹم کو اس طرح سے تشکیل دینا چاہئے کہ نظام صرف درست ڈیجیٹل دستخط والے ماڈیولز کو لوڈ کرے۔

لینکس اور آئی او ٹی ڈیوائسز کیوں؟

بہت سے لوگوں کے لئے ، سوال یہ ہے کہ کیوں پہلے جگہ میں میل ویئر کو ہدف بناتے ہوئے میلویئر بنائیں؟ اس کی وجوہات بہت ساری ہیں لیکن ان میں سے ایک بڑی وجہ یہ ہے کہ لینکس اوپن سورس ہے اور زیادہ سے زیادہ مینوفیکچررز اور بڑی کمپنیاں ہارڈ ویئر سے چلنے والی لینکس کو اپناتے ہیں جس سے ہیکرز کو لینکس میلویئر کی نشوونما کی ضرورت ہوتی ہے۔ یہ سچ ہے کہ میلویئر کی اکثریت مائیکروسافٹ صارفین کو نشانہ بناتی ہے ، کیوں کہ مائیکروسافٹ پروڈکٹس میں دریافت کیا گیا OS بہت بڑا صارف اڈہ ہے اور خطرات کو زیادہ مؤثر میلویئر کی اجازت دیتا ہے ، لیکن لینکس کے استعمال میں واضح اضافہ ہوا ہے۔ اس کے نتیجے میں مالویئر ڈویلپرز اپنی نظریں بڑھتی ہوئی تعداد میں لینکس کی طرف موڑ دیتے ہیں۔

سوال کا دوسرا حصہ یہ ہے کہ کیوں آئی او ٹی آلات کو نشانہ بنائیں؟ ایک بار پھر وجوہات بے شمار ہیں لیکن لینکس بن گیا ہے انتخاب کا OS IOT آلات کیلئے۔ چونکہ یہ آلات مسلسل بڑھتی ہوئی تعداد میں تیار ہوتے ہیں اسی طرح لینکس یا کسی دوسرے ورژن کے چلنے والے آلات کی تعداد بھی بڑھ جاتی ہے۔ ڈویلپرز کے لئے لینکس کی اوپن سورس نوعیت پرکشش ہے ، اس سے اخراجات کی بچت ہوتی ہے اور یہ OS کی مکمل شفافیت کی اجازت دیتا ہے ، یعنی ڈویلپرز کو پورے OS تک رسائی حاصل ہے اور اس پر چلنے کے لئے بہتر سافٹ ویئر کی مصنوعات تیار کرسکتی ہیں۔ اس کے نتیجے میں ہیکرز اپنی طرف راغب ہوئے جو اب ان خامیوں کو ڈھونڈ سکتے ہیں اور ان کا استحصال کرسکتے ہیں جن کا ماضی میں بہترین وقت پر نظرانداز کیا جائے گا۔

فینسی بیئر کے ل these ان وجوہات نے اہداف بنائے جن کو اب نظرانداز نہیں کیا جاسکتا۔ اس علم کے ساتھ یہ ملایا گیا ہے کہ دنیا کی بہت سی بڑی تنظیمیں اور سرکاری ایجنسیاں ایک ورژن یا دوسرے ورژن میں لینکس کی تعیناتی کرتی ہیں ، خواہ وہ آئی او ٹی ڈیوائسز کے ذریعہ ہو یا سرور کے ذریعے۔ مساوات خلاف ورزی اس کی ایک عمدہ مثال ہے ، حالانکہ یہ ضروری نہیں کہ کسی ریاستی سرپرستی والے گروپ کے ذریعہ انجام دی جا، ، نیٹ ورک تک رسائی اپاچی اسٹرٹس میں خطرے کے ذریعہ انجام دی گئی تھی جو عام طور پر سرورز پر لینکس کے لئے مشہور ویب ڈویلپمنٹ فریم ورک ہے۔ سیکیورٹی محقق ایان فولوا ، دریافت کیا فارچون 100 کمپنیوں میں سے نصف نے اپاچی اسٹرٹس کو کسی نہ کسی شکل میں استعمال کیا۔

سائبر جاسوسی اور فینسی بیئر سے وابستہ دیگر سرگرمیوں کے ل such ، اس طرح کے اہداف کو نظر انداز کرنا بیوقوف ہوگا۔ یہ بھی محفوظ طور پر فرض کیا جاسکتا ہے کہ دنیا بھر کی بہت ساری حکومتیں اور ان کی تنظیمیں اپنے انفراسٹرکچر کے اندر اپاچی اسٹرٹس یا لینکس کے دانے بھی استعمال کریں گی۔ اس نیٹ ورک کو مزید بڑے پیمانے پر سوفٹ ویئر پیکجوں پر کام کرنے والے نیٹ ورکس کے ذریعہ اس مسئلے کو مزید بڑھاوا دیا گیا ہے ، جس کے نتیجے میں پورے نیٹ ورک کا ادراک کرنا مشکل ہوجاتا ہے اور پیچ کی ضرورت ہوتی ہے جس کی ضرورت ہوتی ہے۔ ایان فولوا کا مقابلہ کرنے کے ل adv مشورے دیتے ہیں کہ منتظمین نیٹ ورک پر استعمال ہونے والے اوپن سورس پیکجوں اور ٹولز کی حد معلوم کرنا شروع کردیتے ہیں اور پھر اپ ڈیٹس کے ل those ان کو ٹریک کرتے ہیں۔ اوسط ڈویلپر ایک مہینے میں پانچ نئے اوپن سورس ٹولز استعمال کرسکتے ہیں لہذا ان سے باخبر رہنا تنظیمی سلامتی کے لئے ناگزیر ثابت ہوسکتا ہے۔