ہم نے ابھی تک جو کچھ بھی دیکھا ہے اس سے ماسک ہیک ہے

کسپرسکی لیب کے محققین نے حکومت ، توانائی ، تیل ، اور گیس تنظیموں کے خلاف سائبر جاسوسی کے آپریشن کا انکشاف کیا ہے جو آج تک کے اوزاروں کی انتہائی نفیس صفوں کا استعمال کرتے ہیں۔ کمپنی کا کہنا تھا کہ اس آپریشن میں ملک گیر حملہ ہونے کی علامت ہے۔

کاسپرسکی لیب میں عالمی تحقیق و تجزیہ ٹیم کے ڈائریکٹر کوسٹن رائو اور ان کی ٹیم نے پیر کو کسپرسکی لیب سیکیورٹی تجزیہ کاروں کے اجلاس میں "ماسک" کے پیچھے موجود تفصیلات سے پردہ اٹھایا ، جس میں بتایا گیا ہے کہ اس کارروائی میں کس طرح روٹ کٹ ، بوٹ کٹ اور میلویئر استعمال کیا گیا ہے۔ ونڈوز ، میک OS X ، اور لینکس۔ اس ٹیم نے کہا کہ استعمال شدہ مالویئر کے Android اور iOS ورژن بھی ہوسکتے ہیں۔ تمام اشارے کے مطابق ، ماسک ایک ایلیٹ قومی ریاست مہم ہے ، اور اس کا ڈھانچہ اسٹکس نیٹ سے وابستہ شعلہ مہم سے بھی زیادہ نفیس ہے۔

"یہ میں نے دیکھا ہے کہ ان میں سے ایک ہے۔ اس سے قبل ، اے پی ٹی کا سب سے اچھا گروپ شعلہ کے پیچھے تھا ، لیکن اب انفراسٹرکچر کا انتظام کرنے کے طریقوں اور ان کے خطرات پر ردعمل کا طریقہ اور رد عمل اور پیشہ ورانہ مہارت کی رفتار کی وجہ سے اس نے میری رائے بدل دی ہے۔ ، "رائو نے کہا۔ ماسک "شعلے اور کچھ اور بھی ہے جو ہم نے اب تک دیکھا ہے" سے آگے بڑھتا ہے۔

اس کارروائی کا پتہ لگانے میں لگ بھگ پانچ سال رہا اور 380 متاثرین پر اثر انداز ہوا 1،000 سے زیادہ ہدف والے IP پتوں میں سے جو سرکاری اداروں ، سفارتی دفاتر اور سفارت خانوں ، تحقیقی اداروں اور کارکنوں سے تعلق رکھتے ہیں۔ متاثرہ ممالک کی فہرست لمبی ہے ، جس میں الجیریا ، ارجنٹائن ، بیلجیم ، بولیویا ، برازیل ، چین ، کولمبیا ، کوسٹا ریکا ، کیوبا ، مصر ، فرانس ، جرمنی ، جبرالٹر ، گوئٹے مالا ، ایران ، عراق ، لیبیا ، ملائیشیا ، میکسیکو ، مراکش ، ناروے ، پاکستان ، پولینڈ ، جنوبی افریقہ ، اسپین ، سوئٹزرلینڈ ، تیونس ، ترکی ، برطانیہ ، ریاستہائے متحدہ ، اور وینزویلا۔

ماسک کھولنا

ماسک ، جس کا نام کیریٹو بھی ہے ، دستاویزات اور خفیہ کاری کی چابیاں ، ورچوئل پرائیوٹ نیٹ ورکس (وی پی این) کے لئے ترتیب سے متعلق معلومات ، سیکیشل شیل (ایس ایس ایچ) کے لئے چابیاں ، اور ریموٹ ڈیسک ٹاپ کلائنٹ کی فائلیں چوری کرتا ہے۔ یہ لاگ سے اپنی سرگرمیوں کے نشانات بھی مٹا دیتا ہے۔ کاسپرسکی لیب نے کہا کہ میلویئر میں ایک ماڈیولر فن تعمیر ہے اور وہ پلگ ان اور تشکیل فائلوں کی حمایت کرتا ہے۔ اسے نئے ماڈیولز کے ساتھ بھی اپ ڈیٹ کیا جاسکتا ہے۔ میلویئر نے کاسپرسکی کے سکیورٹی سافٹ ویئر کے پرانے ورژن کا استحصال کرنے کی بھی کوشش کی۔

رائو نے کہا ، "یہ چھپانے کے لئے ہمارے ایک اجزا کو غلط استعمال کرنے کی کوشش کر رہا ہے۔"

یہ حملہ نیزہ بازوں سے متعلق ای میلوں سے شروع ہوتا ہے جس میں غلط استعمال کرنے والے یو آر ایل کے لنکس ہوتے ہیں اور آخر کار صارفین کو پیغام باڈی کے حوالے سے جائز سائٹ تک پہنچانے سے پہلے ایک سے زیادہ استحصال کی میزبانی کرتے ہیں۔ اس مقام پر ، حملہ آوروں نے متاثرہ مشین کی مواصلات پر قابو پالیا ہے۔

حملہ آوروں نے ایک استحصال استعمال کیا جس نے اڈوب فلیش پلیئر میں ایک کمزوری کو نشانہ بنایا جس سے حملہ آور پھر گوگل کروم میں سینڈ باکس کو نظرانداز کرنے دیتے ہیں۔ اس خطرے کا سب سے پہلے فرانسیسی خطرے سے متعلق بروکر VUPEN کے ذریعہ ، 2012 میں کینسیک ویسٹ میں Pwn2Own مقابلے کے دوران کامیابی کے ساتھ استحصال کیا گیا تھا۔ VUPEN نے یہ کہتے ہوئے انکشاف کرنے سے انکار کردیا کہ اس نے حملہ کیسے کیا۔ وہ یہ کہتے ہوئے کہ وہ اپنے صارفین کے لئے اسے بچانا چاہتے ہیں۔ رائو نے قطعی طور پر یہ نہیں کہا کہ ماسک میں استعمال ہونے والا استحصال VUPEN کی طرح ہی تھا ، لیکن اس نے تصدیق کی کہ یہ وہی خطرہ ہے۔ "ہوسکتا ہے کہ کوئی اپنا استحصال کرے ،" رائو نے کہا۔

VUPEN نے ٹویٹر پر اس کاروائی میں اس کے استحصال کا استعمال کرنے سے انکار کرنے کے لئے کہا ، "# ماسک کے بارے میں ہمارا سرکاری بیان: استحصال ہمارا نہیں ہے ، شاید یہ # Pwn2Own کے بعد ایڈوب کے جاری کردہ پیچ کو مختلف کرتے ہوئے پایا گیا تھا۔" دوسرے لفظوں میں ، حملہ آوروں نے پیچیدہ فلیش پلیئر کا مقابلہ بغیر کسی نسخہ کے ایڈیشن سے کیا ، اختلافات کو دور کیا اور استحصال کی نوعیت کو کم کیا۔

اب ماسک کہاں ہے؟

رائو نے بتایا کہ جب کاسپرسکی نے گذشتہ ہفتے اپنے بلاگ پر دی ماسک کا ایک ٹیزر پوسٹ کیا تھا ، حملہ آوروں نے اپنی کاروائیاں بند کرنا شروع کیں۔ ایلین والٹ لیبز کے ریسرچ ڈائریکٹر جائیم بلسکو نے بتایا کہ حقیقت یہ ہے کہ کاسپرسکی کے اس ٹیزر کی اشاعت کے چار گھنٹوں کے اندر ہی حملہ آور اپنے بنیادی ڈھانچے کو بند کرنے میں کامیاب ہوگئے تھے۔

جبکہ کاسپرسکی لیب نے آپریشن سے وابستہ کمانڈ اینڈ کنٹرول سرور بند کردیئے ہیں اور ایپل نے استحصال کے میک ورژن سے وابستہ ڈومینز کو بند کردیا ہے ، رائو کا خیال ہے کہ وہ مجموعی انفراسٹرکچر کا صرف "سنیپ شاٹ" ہیں۔ "مجھے شبہ ہے کہ ہم ان کے آپریشن میں ایک انتہائی تنگ ونڈو دیکھ رہے ہیں۔"

اگرچہ یہ سمجھنا آسان ہے کہ چونکہ ہسپانوی زبان کے ضابطہ اخلاق میں یہ باتیں آرہی تھیں کہ حملہ آور ہسپانوی بولنے والے ملک سے تھے ، لیکن رائو نے نشاندہی کی کہ حملہ آور تفتیش کاروں کو ٹریک سے باہر پھینکنے کے لئے سرخ پرچم کی حیثیت سے آسانی سے مختلف زبان کا استعمال کرسکتے ہیں۔ اب ماسک کہاں ہے؟ ہم صرف نہیں جانتے۔