شمالی کوریا کے پریمیئر ایڈوانسڈ پرسسٹنٹ تھریٹس (APTs) کم از کم ڈیڑھ سال سے خاموشی سے جنوبی کوریا کے دفاعی ٹھیکیداروں کی جاسوسی کر رہے ہیں، اور تقریباً 10 تنظیموں میں دراندازی کر رہے ہیں۔
جنوبی کوریا کی پولیس نے اس ہفتے جاری کیا۔ تحقیقات کے نتائج جس کے ذریعے کی جانے والی جاسوسی مہمات کا پردہ فاش کیا گیا۔ اندریئل (عرف اونکس سلیٹ، سائلنٹ چولیما، پلوٹونیم) کمسوکی (عرف APT 43، تھیلیم، ویلویٹ چولیما، بلیک بنشی)، اور وسیع تر Lazarus گروپ۔ قانون نافذ کرنے والے اداروں نے متاثرہ دفاعی تنظیموں کے نام نہیں بتائے اور نہ ہی چوری شدہ ڈیٹا کی تفصیلات فراہم کیں۔
یہ اعلان شمالی کوریا کے اس اقدام کے ایک دن بعد سامنے آیا ہے۔ ایٹمی جوابی حملے کی نقل کرنے والی پہلی ڈرل.
DPRK APTs برقرار ہے۔
بہت کم ممالک غیر ملکی ریاستوں سے سائبر خطرات سے اتنے واقف ہیں جیسے جنوبی کوریا، اور چند صنعتیں اتنی واقف ہیں کہ فوج اور دفاع۔ اور پھر بھی، کم بہترین ہے۔ ہمیشہ ایک راستہ تلاش کرنے لگتا ہے.
"اے پی ٹی خطرات، خاص طور پر جو ریاستی سطح کے اداکاروں کے ذریعہ کارفرما ہیں، کو مکمل طور پر روکنا بدنام زمانہ مشکل ہے،" مینلو سیکیورٹی کے سائبر سیکیورٹی کے ماہر مسٹر نگوک بوئی نے افسوس کا اظہار کیا۔ "اگر کوئی اے پی ٹی یا اداکار بہت زیادہ حوصلہ افزائی کرتا ہے، تو کچھ رکاوٹیں ہیں جو بالآخر دور نہیں ہوسکتی ہیں۔"
نومبر 2022 میں، مثال کے طور پر، Lazarus نے ایک ٹھیکیدار کو نشانہ بنایا جو سائبر سے کافی آگاہ تھا کہ وہ الگ الگ اندرونی اور بیرونی نیٹ ورکس کو چلا سکتا ہے۔ تاہم، ہیکرز نے ان دونوں کو جوڑنے والے نظام کو سنبھالنے میں ان کی غفلت کا فائدہ اٹھایا۔ سب سے پہلے، ہیکرز نے ایک بیرونی نیٹ ورک سرور کی خلاف ورزی کی اور اسے متاثر کیا۔ جب کہ نیٹ ورک ٹیسٹ کے لیے ڈیفنسز کم تھے، انہوں نے نیٹ ورک کنکشن سسٹم کے ذریعے اور اندرونی حصوں میں سرنگ کی۔ اس کے بعد انہوں نے چھ ملازمین کے کمپیوٹرز سے "اہم ڈیٹا" کاٹنا اور نکالنا شروع کیا۔
اکتوبر 2022 کے آس پاس شروع ہونے والے ایک اور معاملے میں، اندریئل نے لاگ ان معلومات حاصل کیں جو ایک کمپنی کے ملازم کی ہے جس نے زیربحث دفاعی ٹھیکیداروں میں سے ایک کے لیے ریموٹ آئی ٹی کی دیکھ بھال کی تھی۔ ہائی جیک شدہ اکاؤنٹ کا استعمال کرتے ہوئے، اس نے کمپنی کے سرورز کو مالویئر سے متاثر کیا اور دفاعی ٹیکنالوجیز سے متعلق ڈیٹا کو خارج کر دیا۔
پولیس نے اپریل سے جولائی 2023 تک جاری رہنے والے ایک واقعے پر بھی روشنی ڈالی، جس میں کمسوکی نے ایک دفاعی فرم کی پارٹنر کمپنی کے زیر استعمال گروپ ویئر ای میل سرور کا استحصال کیا۔ ایک کمزوری نے غیر مجاز حملہ آوروں کو بڑی فائلیں ڈاؤن لوڈ کرنے کی اجازت دی جو ای میل کے ذریعے اندرونی طور پر بھیجی گئی تھیں۔
لعزر کو سونگھنا
بوئی بتاتے ہیں کہ حکام کے لیے استعمال کی بات یہ ہے کہ "DPRK گروپس جیسے کہ Lazarus اکثر نہ صرف اپنے مالویئر بلکہ اپنے نیٹ ورک انفراسٹرکچر کو بھی دوبارہ استعمال کرتے ہیں، جو ان کے کاموں میں کمزوری اور طاقت دونوں ہو سکتے ہیں۔ ان کی OPSEC کی ناکامیاں اور انفراسٹرکچر کا دوبارہ استعمال، جدید حربوں جیسے کہ دراندازی کرنے والی کمپنیوں کے ساتھ مل کر، ان کی نگرانی کے لیے خاص طور پر دلچسپ بناتی ہے۔
دفاعی خلاف ورزیوں میں سے ہر ایک کے پیچھے مجرموں کی شناخت اس مالویئر کی بدولت کی گئی جو انہوں نے سمجھوتہ کے بعد تعینات کیا تھا - بشمول نیوکس پیڈ اور ٹائیگر ریموٹ ایکسیس ٹروجنز (RATs) - نیز ان کے فن تعمیر اور IP پتے۔ قابل ذکر بات یہ ہے کہ ان میں سے کچھ IPs کا سراغ شین یانگ، چین، اور کوریا ہائیڈرو اینڈ نیوکلیئر پاور کمپنی کے خلاف 2014 کے حملے سے ملا۔
کورین نیشنل پولیس ایجنسی نے ایک بیان میں کہا کہ "شمالی کوریا کی جانب سے دفاعی ٹیکنالوجی کو نشانہ بنانے کی ہیکنگ کی کوششیں جاری رہنے کی توقع ہے۔" ایجنسی تجویز کرتی ہے کہ دفاعی کمپنیاں اور ان کے پارٹنرز دو فیکٹر تصدیق کا استعمال کریں اور وقتاً فوقتاً اپنے اکاؤنٹس سے منسلک پاس ورڈز تبدیل کریں، بیرونی نیٹ ورکس سے اندرونی کو بند کریں، اور غیر مجاز اور غیر ضروری غیر ملکی IP پتوں کے لیے حساس وسائل تک رسائی کو روکیں۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/cyberattacks-data-breaches/north-korea-apt-triumvirate-spied-on-south-korean-defense-industry-for-years
