ایرانی حکومت کے حامی ہیکرز بڑی مشکل میں ہیں۔ پورے موسم بہار کے دوران، نامعلوم افراد نے ٹیلی گرام پر "خفیہ لیکس" شائع کیں - ایرانی حکومت سے وابستہ اے پی ٹی گروپس کے بارے میں معلومات۔ تیل کی رگ и کیچڑ زدہ پانی - ان کے اوزار، متاثرین، کنکشن. لیکن ہر کسی کے بارے میں نہیں۔ اپریل میں، گروپ-آئی بی کے ماہرین نے ترک کارپوریشن ASELSAN A.Ş کے میلنگ ایڈریس کا ایک لیک دریافت کیا، جو ترکی کی مسلح افواج کے لیے ٹیکٹیکل ملٹری ریڈیو اور الیکٹرانک دفاعی نظام تیار کرتا ہے۔ اناستاسیا تیخونوفا، گروپ-آئی بی ایڈوانسڈ تھریٹ ریسرچ ٹیم لیڈر، اور نکیتا روستوتسیفگروپ-IB کے جونیئر تجزیہ کار نے ASELSAN A.Ş پر حملے کا طریقہ بیان کیا اور ایک ممکنہ شریک تلاش کیا۔ کیچڑ زدہ پانی.
ٹیلیگرام کے ذریعے لائٹنگ
ایرانی اے پی ٹی گروپوں کے لیک ہونے کا آغاز اس حقیقت سے ہوا کہ ایک مخصوص لیب دوختگین چھ APT34 ٹولز (عرف OilRig اور HelixKitten) کے سورس کوڈز نے آپریشنز میں ملوث IP ایڈریس اور ڈومینز کے ساتھ ساتھ اتحاد ایئرویز اور ایمریٹس نیشنل آئل سمیت ہیکرز کے 66 متاثرین کا ڈیٹا بھی ظاہر کیا۔ لیب Doookhtegan نے گروپ کی ماضی کی کارروائیوں کے بارے میں ڈیٹا اور ایرانی وزارت اطلاعات اور قومی سلامتی کے ملازمین کے بارے میں معلومات بھی لیک کیں جو مبینہ طور پر گروپ کی کارروائیوں سے وابستہ ہیں۔ OilRig ایک ایران سے منسلک APT گروپ ہے جو تقریباً 2014 سے موجود ہے اور حکومت، مالیاتی اور عسکری تنظیموں کے ساتھ ساتھ مشرق وسطیٰ اور چین میں توانائی اور ٹیلی کمیونیکیشن کمپنیوں کو نشانہ بناتا ہے۔
آئل رِگ کے بے نقاب ہونے کے بعد، لیکس کا سلسلہ جاری رہا - ایران سے تعلق رکھنے والے ایک اور ریاست نواز گروپ، مڈی واٹر کی سرگرمیوں کے بارے میں معلومات ڈارک نیٹ اور ٹیلی گرام پر نمودار ہوئیں۔ تاہم، پہلی لیک کے برعکس، اس بار یہ سورس کوڈز شائع نہیں کیے گئے تھے، بلکہ ڈمپ کیے گئے تھے، جس میں سورس کوڈز، کنٹرول سرورز کے اسکرین شاٹس کے ساتھ ساتھ ہیکرز کے ماضی کا شکار ہونے والے آئی پی ایڈریس بھی شامل تھے۔ اس بار، گرین لیکرز کے ہیکرز نے مڈی واٹر کے بارے میں لیک کی ذمہ داری قبول کی۔ وہ کئی ٹیلیگرام چینلز اور ڈارک نیٹ سائٹس کے مالک ہیں جہاں وہ مڈی واٹر آپریشنز سے متعلق ڈیٹا کی تشہیر اور فروخت کرتے ہیں۔
مشرق وسطیٰ سے سائبر جاسوس
کیچڑ زدہ پانی ایک گروپ ہے جو مشرق وسطیٰ میں 2017 سے سرگرم ہے۔ مثال کے طور پر، جیسا کہ گروپ-آئی بی کے ماہرین نوٹ کرتے ہیں، فروری سے اپریل 2019 تک، ہیکرز نے ترکی، ایران، افغانستان، عراق اور آذربائیجان میں حکومت، تعلیمی اداروں، مالیاتی، ٹیلی کمیونیکیشن اور دفاعی کمپنیوں کو نشانہ بنانے والی فشنگ میلنگ کا ایک سلسلہ انجام دیا۔
گروپ کے اراکین پاور شیل پر مبنی اپنی ترقی کا بیک ڈور استعمال کرتے ہیں، جسے کہا جاتا ہے۔ پاور سٹیٹس. وہ کر سکتا ہے:
- مقامی اور ڈومین اکاؤنٹس، دستیاب فائل سرورز، اندرونی اور بیرونی IP پتے، نام اور OS فن تعمیر کے بارے میں ڈیٹا اکٹھا کرنا؛
- ریموٹ کوڈ پر عمل درآمد؛
- C&C کے ذریعے فائلیں اپ لوڈ اور ڈاؤن لوڈ کریں۔
- خراب فائلوں کے تجزیہ میں استعمال ہونے والے ڈیبگنگ پروگراموں کی موجودگی کا پتہ لگانا؛
- اگر بدنیتی پر مبنی فائلوں کا تجزیہ کرنے کے پروگرام مل جاتے ہیں تو سسٹم کو بند کر دیں۔
- مقامی ڈرائیوز سے فائلوں کو حذف کریں؛
- اسکرین شاٹس لیں؛
- Microsoft Office مصنوعات میں حفاظتی اقدامات کو غیر فعال کریں۔
کسی وقت، حملہ آوروں نے غلطی کی اور ReaQta کے محققین حتمی IP ایڈریس حاصل کرنے میں کامیاب ہو گئے، جو تہران میں واقع تھا۔ اس گروپ کی طرف سے حملہ کیے گئے اہداف کے ساتھ ساتھ سائبر جاسوسی سے متعلق اس کے اہداف کو دیکھتے ہوئے ماہرین نے تجویز کیا ہے کہ یہ گروپ ایرانی حکومت کے مفادات کی نمائندگی کرتا ہے۔
حملے کے اشارےC&C:
- gladiator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
فائلوں:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
ترکی حملے کی زد میں ہے۔
10 اپریل، 2019 کو، گروپ-آئی بی کے ماہرین نے ترکی میں ملٹری الیکٹرانکس کے شعبے میں سب سے بڑی کمپنی، ترکی کی کمپنی ASELSAN A.Ş کے میلنگ ایڈریس کا ایک لیک دریافت کیا۔ اس کی مصنوعات میں ریڈار اور الیکٹرانکس، الیکٹرو آپٹکس، ایویونکس، بغیر پائلٹ کے نظام، زمینی، بحری، ہتھیار اور فضائی دفاعی نظام شامل ہیں۔
پاور سٹیٹس میلویئر کے نئے نمونوں میں سے ایک کا مطالعہ کرتے ہوئے، گروپ-آئی بی کے ماہرین نے یہ طے کیا کہ حملہ آوروں کے MuddyWater گروپ نے بیت الخلاء کے طور پر استعمال ہونے والے ایک لائسنس کے معاہدے کو دستاویز کیا ہے، Koç Savunma، معلومات اور دفاعی ٹیکنالوجی کے شعبے میں حل تیار کرنے والی کمپنی، اور Tubitak Bilgem کے درمیان۔ ایک انفارمیشن سیکیورٹی ریسرچ سینٹر اور جدید ٹیکنالوجیز۔ Koç Savunma کے لیے رابطہ کرنے والا شخص طاہر تانر Tımış تھا، جو Koç Bilgi ve Savunma Teknolojileri A.Ş میں پروگرامز مینیجر کے عہدے پر فائز تھا۔ ستمبر 2013 سے دسمبر 2018 تک۔ بعد میں اس نے ASELSAN A.Ş میں کام کرنا شروع کیا۔
ڈیکوی دستاویز کا نمونہ
صارف کے بدنیتی پر مبنی میکرو کو فعال کرنے کے بعد، پاور سٹیٹس بیک ڈور متاثرہ کے کمپیوٹر پر ڈاؤن لوڈ ہو جاتا ہے۔
اس ڈیکوی دستاویز کے میٹا ڈیٹا کا شکریہ (MD5: 0638adf8fb4095d60fbef190a759aa9e) محققین ایک جیسی اقدار پر مشتمل تین اضافی نمونے تلاش کرنے کے قابل تھے، جن میں تخلیق کی تاریخ اور وقت، صارف نام، اور میکرو کی فہرست شامل ہیں:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
مختلف ڈیکوی دستاویزات کے ایک جیسے میٹا ڈیٹا کا اسکرین شاٹ
نام کے ساتھ دریافت شدہ دستاویزات میں سے ایک ListOfHackedEmails.doc ڈومین سے تعلق رکھنے والے 34 ای میل پتوں کی فہرست پر مشتمل ہے۔ @aselsan.com.tr.
گروپ-آئی بی کے ماہرین نے عوامی طور پر دستیاب لیکس میں ای میل پتوں کو چیک کیا اور پتہ چلا کہ ان میں سے 28 پہلے دریافت شدہ لیکس میں سمجھوتہ کیے گئے تھے۔ دستیاب لیکس کے مرکب کو چیک کرنے سے اس ڈومین سے وابستہ تقریباً 400 منفرد لاگ ان اور ان کے لیے پاس ورڈز ظاہر ہوئے۔ یہ ممکن ہے کہ حملہ آوروں نے عوامی طور پر دستیاب ڈیٹا کو ASELSAN A.Ş پر حملہ کرنے کے لیے استعمال کیا ہو۔
ListOfHackedEmails.doc دستاویز کا اسکرین شاٹ
عوامی لیکس میں 450 سے زیادہ پتہ لگائے گئے لاگ ان پاس ورڈ کے جوڑوں کی فہرست کا اسکرین شاٹ
دریافت شدہ نمونوں میں عنوان کے ساتھ ایک دستاویز بھی تھی۔ F35-Specifications.docF-35 لڑاکا طیارے کا حوالہ دیتے ہوئے. بیت دستاویز F-35 ملٹی رول فائٹر بمبار کے لیے ایک تصریح ہے، جو ہوائی جہاز کی خصوصیات اور قیمت کی نشاندہی کرتی ہے۔ اس متنازعہ دستاویز کا موضوع براہ راست ترکی کی طرف سے S-35 سسٹمز کی خریداری کے بعد F-400 کی فراہمی سے انکار اور F-35 Lightning II کے بارے میں معلومات روس کو منتقل کرنے کے خطرے سے متعلق ہے۔
موصول ہونے والے تمام اعداد و شمار سے ظاہر ہوتا ہے کہ مڈی واٹر کے سائبر حملوں کا اصل ہدف ترکی میں واقع تنظیمیں تھیں۔
گلیڈی ایٹر_سی آر کے اور نیما نکجو کون ہیں؟
اس سے قبل، مارچ 2019 میں، ایک ونڈوز صارف کی جانب سے Gladiyator_CRK کے نام سے بنائی گئی بدنیتی پر مبنی دستاویزات دریافت ہوئی تھیں۔ ان دستاویزات نے پاور سٹیٹس کو بیک ڈور بھی تقسیم کیا اور اسی نام کے ساتھ C&C سرور سے منسلک کیا gladiator[.]tk.
یہ صارف نیما نکجو کی جانب سے 14 مارچ 2019 کو ٹوئٹر پر مڈی واٹر سے وابستہ مبہم کوڈ کو ڈی کوڈ کرنے کی کوشش کے بعد کیا گیا ہو گا۔ اس ٹویٹ کے تبصروں میں، محقق نے کہا کہ وہ اس میلویئر کے لیے سمجھوتہ کے اشارے شیئر نہیں کر سکتا، کیونکہ یہ معلومات خفیہ ہے۔ بدقسمتی سے، پوسٹ کو پہلے ہی حذف کر دیا گیا ہے، لیکن اس کے آثار آن لائن باقی ہیں:
نیما نکجو ایرانی ویڈیو ہوسٹنگ سائٹ dideo.ir اور videoi.ir پر Gladiyator_CRK پروفائل کی مالک ہیں۔ اس سائٹ پر، وہ مختلف دکانداروں سے اینٹی وائرس ٹولز کو غیر فعال کرنے اور سینڈ باکس کو بائی پاس کرنے کے لیے PoC کے کارناموں کا مظاہرہ کرتا ہے۔ نیما نکجو اپنے بارے میں لکھتی ہیں کہ وہ ایک نیٹ ورک سیکیورٹی اسپیشلسٹ ہونے کے ساتھ ساتھ ایک ریورس انجینئر اور مالویئر تجزیہ کار ہیں جو ایک ایرانی ٹیلی کمیونیکیشن کمپنی MTN Irancell کے لیے کام کرتی ہیں۔
Google تلاش کے نتائج میں محفوظ کردہ ویڈیوز کا اسکرین شاٹ:
بعد ازاں، 19 مارچ 2019 کو، سماجی نیٹ ورک ٹوئٹر پر صارف نیما نکجو نے اپنا عرفی نام بدل کر مالویئر فائٹر رکھ دیا، اور متعلقہ پوسٹس اور تبصرے بھی حذف کر دیے۔ ویڈیو ہوسٹنگ dideo.ir پر Gladiyator_CRK کا پروفائل بھی حذف کر دیا گیا، جیسا کہ YouTube پر تھا، اور پروفائل کا نام تبدیل کر کے N تبریزی رکھ دیا گیا۔ تاہم، تقریباً ایک ماہ بعد (16 اپریل 2019)، ٹوئٹر اکاؤنٹ نے نیما نکجو کا نام دوبارہ استعمال کرنا شروع کر دیا۔
مطالعہ کے دوران، گروپ-آئی بی کے ماہرین نے دریافت کیا کہ نیما نکجو کا سائبر جرائم کی سرگرمیوں کے سلسلے میں پہلے ہی ذکر کیا جا چکا ہے۔ اگست 2014 میں، ایران خبرستان بلاگ نے سائبر کرائمین گروپ ایرانی نصر انسٹی ٹیوٹ سے وابستہ افراد کے بارے میں معلومات شائع کیں۔ فائر آئی کی ایک تحقیقات میں بتایا گیا کہ نصر انسٹی ٹیوٹ APT33 کا ٹھیکیدار تھا اور آپریشن ابابیل نامی مہم کے ایک حصے کے طور پر 2011 اور 2013 کے درمیان امریکی بینکوں پر DDoS حملوں میں بھی ملوث تھا۔
چنانچہ اسی بلاگ میں، نیما نکجو-نِکجو کا ذکر کیا گیا، جو ایرانیوں کی جاسوسی کے لیے میلویئر تیار کر رہا تھا، اور اس کا ای میل ایڈریس: gladiator_cracker@yahoo[.]com۔
ایرانی نصر انسٹی ٹیوٹ سے سائبر کرائمین سے منسوب ڈیٹا کا اسکرین شاٹ:
نمایاں کردہ متن کا روسی میں ترجمہ: نیما نکیو - اسپائی ویئر ڈویلپر - ای میل:.
جیسا کہ اس معلومات سے دیکھا جا سکتا ہے، ای میل ایڈریس حملوں میں استعمال ہونے والے ایڈریس اور گلیڈی ایٹر_سی آر کے اور نیما نکجو کے صارفین سے منسلک ہے۔
مزید برآں، 15 جون، 2017 کے مضمون میں کہا گیا ہے کہ نکجو اپنے ریزیومے پر کاوش سیکیورٹی سینٹر کے حوالے پوسٹ کرنے میں کسی حد تک لاپرواہ تھے۔ کھاؤ کہ کاوش سیکیورٹی سینٹر کو حکومت کے حامی ہیکروں کی مالی معاونت کے لیے ایرانی ریاست کی مدد حاصل ہے۔
اس کمپنی کے بارے میں معلومات جہاں نیما نکجو نے کام کیا:
ٹویٹر صارف نیما نکجو کے لنکڈ ان پروفائل میں ان کی پہلی ملازمت کی فہرست کاوش سیکیورٹی سینٹر کے طور پر ہے، جہاں اس نے 2006 سے 2014 تک کام کیا۔ اپنے کام کے دوران، اس نے مختلف میلویئر کا مطالعہ کیا، اور الٹا اور مبہم کام سے متعلق کام بھی کیا۔
نیما نکجو نے LinkedIn پر کام کرنے والی کمپنی کے بارے میں معلومات:
Muddywater اور اعلیٰ خود اعتمادی۔
یہ دلچسپ بات ہے کہ مڈی واٹر گروپ ان کے بارے میں شائع ہونے والی انفارمیشن سیکیورٹی ماہرین کی تمام رپورٹس اور پیغامات کی بغور نگرانی کرتا ہے، اور محققین کو خوشبو سے دور کرنے کے لیے پہلے جان بوجھ کر جھوٹے جھنڈے بھی چھوڑ دیتا ہے۔ مثال کے طور پر، ان کے پہلے حملوں نے DNS میسنجر کے استعمال کا پتہ لگا کر ماہرین کو گمراہ کیا، جو عام طور پر FIN7 گروپ سے وابستہ تھا۔ دوسرے حملوں میں، انہوں نے کوڈ میں چینی تاریں ڈالیں۔
اس کے علاوہ، گروپ محققین کے لیے پیغامات چھوڑنا پسند کرتا ہے۔ مثال کے طور پر، انہیں یہ پسند نہیں آیا کہ Kaspersky Lab نے سال کے لیے خطرے کی درجہ بندی میں MuddyWater کو تیسرے نمبر پر رکھا۔ اسی لمحے، کسی نے - ممکنہ طور پر MuddyWater گروپ نے - YouTube پر ایک استحصال کا PoC اپ لوڈ کیا جو LK اینٹی وائرس کو غیر فعال کر دیتا ہے۔ انہوں نے مضمون کے تحت ایک تبصرہ بھی چھوڑا۔
کاسپرسکی لیب اینٹی وائرس کو غیر فعال کرنے سے متعلق ویڈیو کے اسکرین شاٹس اور ذیل میں تبصرہ:
"نیما نکجو" کی شمولیت کے بارے میں کوئی مبہم نتیجہ اخذ کرنا اب بھی مشکل ہے۔ گروپ-آئی بی کے ماہرین دو ورژن پر غور کر رہے ہیں۔ نیما نکجو، درحقیقت، مڈی واٹر گروپ کا ہیکر ہو سکتا ہے، جو اپنی لاپرواہی اور نیٹ ورک پر بڑھتی ہوئی سرگرمی کی وجہ سے منظر عام پر آیا تھا۔ دوسرا آپشن یہ ہے کہ اسے گروپ کے دوسرے ممبران نے جان بوجھ کر "بے نقاب" کیا تاکہ اپنے آپ سے شبہات کو دور کیا جاسکے۔ کسی بھی صورت میں، گروپ-آئی بی اپنی تحقیق جاری رکھے گا اور یقینی طور پر اپنے نتائج کی اطلاع دے گا۔
جہاں تک ایرانی APTs کا تعلق ہے، لیکس اور لیکس کی ایک سیریز کے بعد، انہیں ممکنہ طور پر ایک سنگین "ڈیبریفنگ" کا سامنا کرنا پڑے گا - ہیکرز کو سنجیدگی سے اپنے ٹولز تبدیل کرنے، اپنے ٹریک کو صاف کرنے اور اپنی صفوں میں ممکنہ "مولز" تلاش کرنے پر مجبور کیا جائے گا۔ ماہرین نے اس بات کو مسترد نہیں کیا کہ وہ ٹائم آؤٹ بھی لیں گے، لیکن ایک مختصر وقفے کے بعد، ایرانی اے پی ٹی حملے دوبارہ جاری رہے۔
ماخذ: www.habr.com