چین سے منسلک اے پی ٹی نے دہائی تک ریڈار کے نیچے پرواز کی۔

محققین نے ایک چھوٹی لیکن طاقتور چین سے منسلک اے پی ٹی کی نشاندہی کی ہے جو جنوب مشرقی ایشیا اور آسٹریلیا میں حکومت، تعلیم اور ٹیلی کمیونیکیشن تنظیموں کے خلاف تقریباً ایک دہائی سے مہم چلا رہی ہے۔

محققین SentinelLabs سے کہا APT، جسے انہوں نے Aoqin Dragon کا نام دیا، کم از کم 2013 سے کام کر رہا ہے۔ APT "چینی بولنے والی ایک چھوٹی ٹیم ہے جس کا ممکنہ تعلق UNC94 سے ہے،" انہوں نے رپورٹ کیا۔

محققین کا کہنا ہے کہ آوکین ڈریگن کے حربوں اور تکنیکوں میں سے ایک میں فحش تھیم پر مبنی بدنیتی پر مبنی دستاویزات کا استعمال متاثرین کو ڈاؤن لوڈ کرنے کے لیے ترغیب دینے کے لیے شامل ہے۔

محققین نے لکھا، "آوکین ڈریگن بنیادی طور پر دستاویز کے کارناموں اور جعلی ہٹانے کے قابل آلات کے استعمال کے ذریعے ابتدائی رسائی حاصل کرتا ہے۔"

Aoqin Dragon's Evolving Stealth Tactics

جس چیز نے آوکین ڈریگن کو راڈار کے نیچے اتنے لمبے عرصے تک رہنے میں مدد کی ہے وہ یہ ہے کہ وہ تیار ہو چکے ہیں۔ مثال کے طور پر، ٹارگٹ کمپیوٹرز کو متاثر کرنے کے لیے استعمال ہونے والے APT کے ذرائع تیار ہو چکے ہیں۔

اپنے آپریشن کے پہلے چند سالوں میں، Aoqin Dragon نے پرانی کمزوریوں سے فائدہ اٹھانے پر انحصار کیا - خاص طور پر CVE-2012-0158 اور CVE-2010-3333 - جن کے اہداف شاید ابھی تک ٹھیک نہیں ہوئے ہیں۔

بعد میں، Aoqin Dragon نے ڈیسک ٹاپ آئیکنز کے ساتھ قابل عمل فائلیں بنائیں جس سے وہ ونڈوز فولڈرز یا اینٹی وائرس سافٹ ویئر کی طرح دکھائی دیں۔ یہ پروگرام درحقیقت بدنیتی پر مبنی ڈراپرز تھے جنہوں نے پچھلے دروازوں کو لگایا اور پھر حملہ آوروں کے کمانڈ اینڈ کنٹرول (C2) سرورز سے رابطہ قائم کیا۔

2018 سے، یہ گروپ اپنے انفیکشن ویکٹر کے طور پر ایک جعلی ہٹنے والا آلہ استعمال کر رہا ہے۔ جب کوئی صارف اسے کھولنے کے لیے کلک کرتا ہے جسے ہٹانے والا ڈیوائس فولڈر لگتا ہے، تو وہ درحقیقت ایک سلسلہ رد عمل شروع کرتے ہیں جو ان کی مشین میں بیک ڈور اور C2 کنکشن ڈاؤن لوڈ کرتا ہے۔ صرف یہی نہیں، میلویئر میزبان مشین سے جڑے کسی بھی حقیقی ہٹنے کے قابل آلات پر خود کو کاپی کرتا ہے، تاکہ میزبان سے آگے اور امید ہے کہ ہدف کے وسیع نیٹ ورک میں اپنا پھیلاؤ جاری رکھا جا سکے۔

گروپ نے راڈار سے دور رہنے کے لیے دوسری تکنیکوں کو استعمال کیا ہے۔ انہوں نے ڈی این ایس ٹنلنگ کا استعمال کیا ہے – انٹرنیٹ کے ڈومین نام کے نظام میں ہیرا پھیری کرتے ہوئے ڈیٹا کو ماضی کے فائر والز کو چھپانے کے لیے۔ ایک بیک ڈور لیوریج – جسے مونگل کہا جاتا ہے – میزبان اور C2 سرور کے درمیان مواصلاتی ڈیٹا کو خفیہ کرتا ہے۔ وقت گزرنے کے ساتھ، محققین نے کہا، اے پی ٹی نے آہستہ آہستہ جعلی ہٹنے والی ڈسک تکنیک پر کام شروع کیا۔ یہ "سیکیورٹی پروڈکٹس کے ذریعہ میلویئر کا پتہ لگانے اور ہٹائے جانے سے بچانے کے لیے اسے پی گریڈ کیا گیا ہے۔"

نیشن اسٹیٹ لنکس

اہداف صرف چند بالٹیوں میں گرے ہیں - حکومت، تعلیم اور ٹیلی کام، سبھی جنوب مشرقی ایشیا میں اور اس کے آس پاس۔ محققین کا دعویٰ ہے کہ "آوکین ڈریگن کو نشانہ بنانا چینی حکومت کے سیاسی مفادات سے قریب تر ہے۔"

چین کے اثر و رسوخ کے مزید شواہد میں ایک ڈیبگ لاگ بھی شامل ہے جو محققین کو ملا ہے جس میں آسان چینی حروف شامل ہیں۔

سب سے اہم بات، محققین نے 2014 میں میانمار کی ویب سائٹ کے صدر پر ایک اوور لیپنگ حملے کو نمایاں کیا۔ اس صورت میں، پولیس نے ہیکرز کے کمانڈ اینڈ کنٹرول اور میل سرورز کو بیجنگ تک ٹریس کیا۔ Aoqin Dragon کے دو بنیادی پچھلے دروازوں میں "C2 انفراسٹرکچر اوور لیپنگ ہے،" اس معاملے کے ساتھ، "اور زیادہ تر C2 سرورز چینی بولنے والے صارفین سے منسوب کیے جا سکتے ہیں۔"

پھر بھی، "ریاست اور ریاستی سپانسر شدہ خطرے کے اداکاروں کی مناسب طریقے سے شناخت اور ان کا سراغ لگانا مشکل ہو سکتا ہے،" Vulcan Cyber ​​کے سینئر ٹیکنیکل انجینئر مائیک پارکن نے ایک بیان میں لکھا۔ سینٹینیل ون اب ایک ایسے اے پی ٹی گروپ کے بارے میں معلومات جاری کرنا جو بظاہر تقریباً ایک دہائی سے سرگرم ہے، اور دوسری فہرستوں میں ظاہر نہیں ہوتا، یہ ظاہر کرتا ہے کہ جب آپ کسی نئے خطرے والے اداکار کی شناخت کر رہے ہوں تو 'یقین کرنا' کتنا مشکل ہو سکتا ہے۔ "