چینی کوریائی حملہ چین کے آئی پی ایڈریس سے نہیں

ایسا معلوم ہوتا ہے کہ جنوبی کوریائی بینکوں اور ٹیلی ویژن نیٹ ورکوں کے خلاف حالیہ سائبر حملوں کا آغاز چین میں نہیں ہوسکتا ہے۔

کورین مواصلات کمیشن کے عہدیدار لی سیونگ ون نے جمعہ کو نامہ نگاروں کو بتایا ، "ہم دو بار چیک اور ٹرپل چیک کرنے کی اپنی کوششوں میں لاپرواہ تھے۔" لی نے کہا ، "اب ہم صرف اس صورت میں اعلانات کریں گے جب ہمارے ثبوت یقینی ہوں گے۔"

20 مارچ کو ، کوریائی ٹیلی ویژن اسٹیشنوں کے بی ایس ، ایم بی سی ، اور وائی ٹی این نیز بینکاری اداروں جیجو ، نونگ ہیپ ، اور شنہن ایک ایسے میلویئر سے متاثر ہوئے تھے جس نے ہارڈ ڈرائیو سے ڈیٹا مٹا دیا تھا ، اور سسٹم کو ناقابل برداشت کردیا تھا۔ کے سی سی نے اس سے قبل کہا تھا کہ ایک چینی آئی پی ایڈریس نے "وائپر" مالویئر تقسیم کرنے کے لئے نونگ ہائپ بینک میں اپ ڈیٹ مینجمنٹ سرور تک رسائی حاصل کی ہے ، جس نے چھ متاثرہ تنظیموں میں تخمینہ 32،000 ونڈوز ، یونکس اور لینکس سسٹم سے ڈیٹا مٹادیا ہے۔

ایسوسی ایٹڈ پریس کی رپورٹ کے مطابق ، ایسا لگتا ہے کہ کے سی سی نے ایک نجی آئی پی ایڈریس کو نونگ ہائپ نظام کے ذریعہ چینی آئی پی ایڈریس کے طور پر غلط استعمال کیا ہے کیونکہ وہ "اتفاق سے" ایک جیسے تھے۔ عہدیداروں نے سسٹم کی ہارڈ ڈرائیو پر قبضہ کرلیا ہے ، لیکن ابھی یہ واضح نہیں ہے کہ انفیکشن کہاں سے پیدا ہوا تھا۔

کوریا انٹرنیٹ اور سیکیورٹی ایجنسی کے نائب صدر ، لی جای ال نے نامہ نگاروں کو بتایا ، "ہم اب بھی کچھ مشکوک IP پتوں کا پتہ لگارہے ہیں جن پر شبہ ہے کہ وہ بیرون ملک مقیم ہیں۔"

انتساب مشکل ہے

کے سی سی کے دعوے کے فورا بعد ہی یہ حملہ چین میں آئی پی ایڈریس سے ہوا ، جنوبی کورین عہدیداروں نے شمالی کوریا پر اس مہم کے پیچھے ہونے کا الزام عائد کیا۔ جنوبی کوریا نے اپنے شمالی ہمسایہ ملک پر الزام لگایا تھا کہ پچھلے حملوں میں وہ جنوبی کوریا کی حکومت اور انڈسٹری کی ویب سائٹوں کو نشانہ بنانے کے لئے چینی IP پتے استعمال کرتے ہیں۔

تاہم ، صرف ایک ہی IP ایڈریس حتمی ثبوت نہیں ہے ، کیونکہ اس بات پر غور کیا جارہا ہے کہ حملے کے لئے چینی سرور استعمال کرنے والے ریاست کے زیر اہتمام بہت سے دوسرے گروپ اور سائبر مجرم گروہ ہیں۔ حملہ آور اپنی سرگرمیاں چھپانے کے ل can یا اس سے ایسا لگتا ہے کہ یہ کسی دوسری جگہ سے آرہا ہے اس کے لئے بھی بہت ساری تکنیکیں استعمال کی جاسکتی ہیں۔

کے سی سی کی یہ غلطی ، جبکہ جنوبی کوریائی حکومت کے لئے شرمناک ہے ، اس بات پر پوری طرح روشنی ڈالتی ہے کہ سائبر حملے کے واقعات اور اس کی نشاندہی کرنے والوں کی شناخت کرنا اتنا مشکل کیوں ہے۔ گارٹنر کے ریسرچ ڈائریکٹر لارنس پنگری نے کہا کہ حملوں کی وابستگی "انتہائی مشکل ہوسکتی ہے"۔

چیلنج اس حقیقت میں مضمر ہے کہ "انٹرنیٹ پر انسداد ذہانت کا استعمال استعمال کیا جاسکتا ہے جیسے سورس آئی پی کی جعل سازی ، پراکسی سرورز کا استعمال ، دوسرے مقامات سے حملے پھیلانے کے لئے بوٹنیٹس کا استعمال ،" اور دیگر طریقوں سے۔ مثال کے طور پر میلویئر ڈویلپرز مختلف زبانوں کے کی بورڈ کے نقشے استعمال کرسکتے ہیں۔

"ایک چینی امریکی یا یورپی جو چینی زبان کو سمجھتا ہے لیکن اپنے آبائی ملک کے لئے ان کے استحصال کو فروغ دیتا ہے اس کے نتیجے میں یہ مسئلہ یا ناممکن منسوب ہوگا۔"

حملے کی تفصیلات

ایسا لگتا ہے کہ یہ حملہ متعدد حملے کے ویکٹروں کا استعمال کرتے ہوئے کیا گیا ہے ، اور جنوبی کوریا کی یونہپ نیوز ایجنسی کی ایک رپورٹ کے مطابق ، حکام نے "دراندازی کے تمام راستوں" کی نشاندہی کرنے کے لئے "کثیر الجہتی" تحقیقات کا آغاز کیا ہے۔ کے سی سی کے لی نے حملہ جنوبی کوریائی نژاد ہونے کا امکان کم کیا ہے ، لیکن اس کی تفصیل سے انکار کردیا۔

ٹرینڈ مائیکرو محققین نے پایا کہ کم از کم ایک ویکٹر سپیئر فشینگ مہم دکھائی دیتا ہے جس میں مالویئر ڈراپر بھی شامل تھا۔ کچھ جنوبی کوریائی تنظیموں کو ایک غلط فائل فائل کے ساتھ منسلک ایک سپیم بینک میسج موصول ہوا۔ جب صارفین نے فائل کھولی تو ، مالویئر نے اضافی مال ویئر کو ڈاؤن لوڈ کیا ، جس میں ونڈوز ماسٹر بوٹ ریکارڈ وائپر اور بیش اسکرپٹس شامل ہیں ، جس میں نیٹ ورک سے منسلک یونکس اور لینکس سسٹم کو نشانہ بنایا جاتا ہے ، جس میں متعدد یو آر ایلز شامل ہیں۔

محققین نے ونڈوز ایم بی آر وائپر میں ایک "منطق بم" کی نشاندہی کی ہے جس نے مالویئر کو 20 مارچ تک شام 2 بجے تک "نیند" والی حالت میں رکھا۔ مقررہ وقت پر ، مالویئر نے اس کے بدنیتی کوڈ کو چالو اور نافذ کردیا۔ بینکوں اور ٹیلی ویژن اسٹیشنوں سے موصولہ اطلاعات اس بات کی تصدیق کرتی ہیں کہ اس دن 2 بجے کے لگ بھگ رکاوٹیں آنا شروع ہوگئیں۔

جمعہ کے روز تک ، جیجو اور شنہان بینکوں نے اپنے نیٹ ورک بحال کردیئے تھے ، اور نونگ ہائپ ابھی تک ترقی میں ہے ، لیکن یہ تینوں ہی آن لائن اور فعال ہوگئے تھے۔ ٹی وی اسٹیشنوں کے بی ایس ، ایم بی سی ، اور وائی ٹی این نے اپنے نظاموں میں سے صرف 10 فیصد کو بحال کیا ہے اور مکمل بازیابی میں ہفتوں کا وقت لگ سکتا ہے۔ تاہم ، اسٹیشنوں نے کہا کہ ان کی نشریاتی صلاحیتوں پر کبھی اثر نہیں ہوا۔