مائیکرو سافٹ نے 200,000 فروری کو کہا کہ ایک حالیہ حملہ جس میں خود کو "ہولی سولز" کہنے والے ایک دھمکی آمیز گروپ نے طنزیہ فرانسیسی میگزین چارلی ہیبڈو سے تعلق رکھنے والے ڈیٹا بیس تک رسائی حاصل کی اور اس کے 3 سے زیادہ صارفین کو ڈاکس کرنے کی دھمکی دی، یہ ایرانی ریاستی اداکار نیپٹونیم کا کام تھا۔
ایسا لگتا ہے کہ یہ حملہ ایرانی حکومت کی طرف سے کارٹون مقابلے کا ردعمل تھا جس کا اعلان چارلی ہیبڈو نے دسمبر میں کیا تھا، جہاں میگزین نے دنیا بھر سے قارئین کو دعوت دی تھی کہ وہ ایران کے سپریم لیڈر علی خامنہ ای کے "مضحکہ خیز" خاکے پیش کریں۔ مقابلے کے نتائج 7 جنوری کو شائع کیے جانے تھے، ایک کی آٹھویں سالگرہ چارلی ہیبڈو پر 2015 کا مہلک دہشت گرد حملہ - پیغمبر اسلام کے کارٹون شائع کرنے کے بدلے میں - جس سے اس کے 12 عملے ہلاک ہوگئے۔
ڈوکسنگ سبسکرائبرز کو جسمانی ہدف بنانے کے خطرے میں ڈال سکتی ہے۔
مائیکرو سافٹ نے کہا کہ یہ طے ہے۔ اس حملے کا ذمہ دار نیپتونیم تھا۔ ان نمونوں اور ذہانت کی بنیاد پر جو اس کے ڈیجیٹل تھریٹ اینالیسس سینٹر (DTAC) کے محققین نے اکٹھے کیے تھے۔ مائیکرو سافٹ نے کہا کہ ڈیٹا سے ظاہر ہوتا ہے کہ نیپتونیم نے اپنے حملے کا وقت ایرانی حکومت کی کارٹونوں پر کی جانے والی رسمی تنقید اور جنوری کے اوائل میں چارلی ہیبڈو کے خلاف ان کے خلاف جوابی کارروائی کی دھمکیوں کے موافق بنایا۔
حملے کے بعد ، نیپتونیم نے اعلان کیا۔ اس نے چارلی ہیبڈو کے تقریباً 230,000 صارفین کی ذاتی معلومات تک رسائی حاصل کی تھی، جس میں ان کے مکمل نام، فون نمبر، پوسٹل ایڈریس، ای میل ایڈریس اور مالی معلومات شامل تھیں۔ مائیکرو سافٹ نے کہا کہ دھمکی آمیز اداکار نے رسائی کے ثبوت کے طور پر ڈیٹا کا ایک چھوٹا سا نمونہ جاری کیا اور 20 بٹ کوائن - یا اس وقت تقریبا$ 340,000 ڈالر میں خریدنے کے خواہشمند کسی کو بھی مکمل قسط کی پیشکش کی۔
"ایرانی اداکار کی طرف سے حاصل کردہ یہ معلومات میگزین کے صارفین کو شدت پسند تنظیموں کی طرف سے آن لائن یا جسمانی طور پر نشانہ بنانے کے خطرے میں ڈال سکتی ہیں،" کمپنی نے اندازہ لگایا - یہ ایک بہت ہی حقیقی تشویش ہے جس کے پیش نظر چارلی ہیبڈو کے پرستار ہیں ایک سے زیادہ بار نشانہ بنایا 2015 کے واقعے سے باہر۔
مائیکروسافٹ نے کہا کہ حملے کو انجام دینے اور اس کی پیروی کرنے میں نیپتونیم نے جو اقدامات کیے ان میں سے بہت سے حربوں، تکنیکوں اور طریقہ کار (TTPs) سے مطابقت رکھتے تھے جو کہ دوسرے ایرانی ریاستی اداکاروں نے اثر و رسوخ کی کارروائیوں کے دوران استعمال کیے ہیں۔ اس میں حملے کا کریڈٹ لینے کے لیے ایک ہیکٹیوسٹ شناخت (ہولی سولز) کا استعمال، نجی ڈیٹا کا لیک ہونا، اور چارلی ہیبڈو پر حملے کی خبروں کو بڑھانے کے لیے جعلی — یا "ساک پپٹ" — سوشل میڈیا پرسنز کا استعمال شامل ہے۔
مائیکرو سافٹ نے کہا کہ مثال کے طور پر، حملے کے بعد، دو سوشل میڈیا اکاؤنٹس (ایک سینئر فرانسیسی ٹیک ایگزیکٹو اور دوسرا چارلی ہیبڈو کا ایڈیٹر) نے لیک ہونے والی معلومات کے اسکرین شاٹس پوسٹ کرنا شروع کر دیا۔ کمپنی نے کہا کہ اس کے محققین نے دوسرے جعلی سوشل میڈیا اکاؤنٹس کا مشاہدہ کیا جو میڈیا تنظیموں کو حملے کی خبریں ٹویٹ کرتے ہیں، جبکہ دیگر نے چارلی ہیبڈو پر فرانسیسی حکومت کی جانب سے کام کرنے کا الزام لگایا۔
ایرانی اثر و رسوخ کی کارروائیاں: ایک واقف خطرہ
نیپتونیم، جسے امریکی محکمہ انصاف "کے طور پر ٹریک کر رہا ہےایمنیٹ پاسرگڈ"، حالیہ برسوں میں متعدد سائبر فعال اثر و رسوخ کی کارروائیوں سے وابستہ ایک خطرہ اداکار ہے۔ یہ ایران سے باہر کام کرنے والے بظاہر ریاستی حمایت یافتہ دھمکی آمیز اداکاروں میں سے ایک ہے۔ حالیہ برسوں میں امریکی تنظیموں کو بہت زیادہ نشانہ بنایا گیا۔.
نیپٹونیم کی مہموں میں ایک ایسی مہم شامل ہے جہاں دھمکی آمیز اداکار نے دیگر چیزوں کے ساتھ ساتھ امریکی 2020 کے عام انتخابات کے نتائج کو متاثر کرنے کی کوشش کی، ووٹر کی معلومات چرانا، ای میل کے ذریعے ووٹرز کو ڈرانا، اور ووٹنگ سسٹم میں موجود کمزوریوں کے بارے میں ایک ویڈیو تقسیم کرنا۔ مہم کے ایک حصے کے طور پر، نیپٹونیم اداکاروں نے دائیں بازو کے پراؤڈ بوائز گروپ کے ممبروں کے طور پر نقاب پوش کیا، گروپ کے بارے میں ایف بی آئی کی تحقیقات سے ظاہر ہوا۔ اس کے ایران حکومت کی حمایت یافتہ اثر و رسوخ کی کارروائیوں کے علاوہ، نیپٹونیم بھی وابستہ ہے۔ مزید روایتی سائبر حملوں کے ساتھ خبر رساں تنظیموں، مالیاتی کمپنیوں کے خلاف 2018 سے پہلے کی تاریخ، حکومتی نیٹ ورکس، ٹیلی کمیونیکیشن فرمیں، اور تیل اور پیٹرو کیمیکل ادارے۔
ایف بی آئی نے کہا کہ ایمنیٹ پاسارگڈ دراصل ایران میں قائم ایک سائبر سیکیورٹی کمپنی ہے جو وہاں کی حکومت کی جانب سے کام کرتی ہے۔ نومبر 2021 میں، نیویارک میں امریکی گرینڈ جیوری اس کے دو ملازمین پر فرد جرم عائد کی گئی۔ کمپیوٹر میں دخل اندازی، دھوکہ دہی اور ووٹر کو ڈرانے سمیت متعدد الزامات پر۔ امریکی حکومت نے ان دونوں افراد کی گرفتاری اور سزا کا باعث بننے والی معلومات کے لیے 10 ملین ڈالر انعام کی پیشکش کی ہے۔
Neptunium's TTPs: Reconnaissance & Web Searches
ایف بی آئی نے گروپ کے ایم او کو ویب سرچز کے ذریعے ممکنہ اہداف پر پہلے مرحلے کی جاسوسی کے طور پر بیان کیا ہے، اور پھر نتائج کو استعمال کرتے ہوئے کمزور سافٹ ویئر کو اسکین کرنا ہے جسے اہداف استعمال کر سکتے ہیں۔
ایف بی آئی نے نوٹ کیا ہے کہ "کچھ مثالوں میں، مقصد کسی مخصوص شعبے میں ایک مخصوص تنظیم کے ہدف کے برخلاف بڑی تعداد میں نیٹ ورکس/ویب سائٹس کا استحصال کرنا ہو سکتا ہے۔" "دیگر حالات میں، ایمنیٹ ہوسٹنگ/مشترکہ ہوسٹنگ سروسز کی شناخت کرنے کی بھی کوشش کرے گا۔"
گروپ کے حملوں کے بارے میں ایف بی آئی کا تجزیہ ظاہر کرتا ہے کہ پی ایچ پی کوڈ چلانے والے ویب صفحات اور بیرونی طور پر قابل رسائی MySQL ڈیٹا بیس میں اس کی خاص دلچسپی ہے۔ اس کے علاوہ گروپ کے لئے اعلی دلچسپی کے ہیں ورڈپریس پلگ ان FBI نے کہا کہ جیسے revslider اور layerslider، اور ویب سائٹس جو Drupal، Apache Tomcat، Ckeditor، یا Fckeditor پر چلتی ہیں۔
ٹارگٹ نیٹ ورک میں داخل ہونے کی کوشش کرتے وقت، Neptunium پہلے اس بات کی تصدیق کرتا ہے کہ آیا تنظیم مخصوص ایپلیکیشنز کے لیے ڈیفالٹ پاس ورڈ استعمال کر رہی ہے، اور یہ ایڈمن یا لاگ ان صفحات کی شناخت کرنے کی کوشش کرتی ہے۔
ایف بی آئی نے کہا کہ "یہ فرض کیا جانا چاہئے کہ ایمنیٹ کسی بھی لاگ ان سائٹس کے لئے عام سادہ پاس ورڈز کی کوشش کر سکتا ہے جس کی وہ شناخت کرتے ہیں۔"
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو بلاک چین۔ Web3 Metaverse Intelligence. علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/attacks-breaches/iran-backed-actor-behind-cyberattack-charlie-hebdo-microsoft-says