Feds: APTs کے پاس ایسے ٹولز ہیں جو اہم انفراسٹرکچر کو سنبھال سکتے ہیں۔

وفاقی ایجنسیوں نے خبردار کیا ہے کہ دھمکی آمیز اداکاروں نے ایسے ٹولز بنائے ہیں اور ان کی تعیناتی کے لیے تیار ہیں جو وسیع پیمانے پر استعمال ہونے والے صنعتی کنٹرول سسٹم (ICS) ڈیوائسز کو لے سکتے ہیں، جو بنیادی ڈھانچے کے اہم فراہم کنندگان کے لیے پریشانی کا باعث بنتے ہیں، خاص طور پر توانائی کے شعبے میں، وفاقی ایجنسیوں نے خبردار کیا ہے۔

In ایک مشترکہ مشورہ، محکمہ توانائی (DoE)، سائبرسیکیوریٹی اور انفراسٹرکچر سیکیورٹی ایجنسی (CISA)، نیشنل سیکیورٹی ایجنسی (NSA) اور FBI نے خبردار کیا ہے کہ "مکمل ایڈوانسڈ پرسسٹنٹ تھریٹ (APT) اداکاروں" نے پہلے ہی "مکمل فائدہ اٹھانے کی صلاحیت" کا مظاہرہ کیا ہے۔ ایک سے زیادہ صنعتی کنٹرول سسٹم (ICS)/سپروائزری کنٹرول اینڈ ڈیٹا ایکوزیشن (SCADA) ڈیوائسز تک سسٹم تک رسائی،" الرٹ کے مطابق۔

ایجنسیوں کے مطابق، APTs کے تیار کردہ اپنی مرضی کے مطابق ٹولز انہیں اجازت دیتے ہیں- ایک بار جب انہوں نے آپریشنل ٹیکنالوجی (OT) نیٹ ورک تک رسائی حاصل کر لی ہے، تو وہ ایجنسیوں کے مطابق، متاثرہ آلات کو اسکین کرنے، سمجھوتہ کرنے اور کنٹرول کرنے کی اجازت دیتے ہیں۔ انہوں نے کہا کہ یہ متعدد مذموم کارروائیوں کا باعث بن سکتا ہے، بشمول مراعات کی بلندی، OT ماحول میں پس منظر کی نقل و حرکت، اور اہم آلات یا افعال میں خلل۔

خطرے میں ڈیوائسز ہیں: شنائیڈر الیکٹرک موڈیکن اور موڈیکن نینو پروگرام ایبل لاجک کنٹرولرز (PLCs) بشمول (لیکن ان تک محدود نہیں) TM251، TM241، M258، M238، LMC058، اور LMC078؛ OMRON Sysmac NEX PLCs؛ اور اوپن پلیٹ فارم کمیونیکیشنز یونیفائیڈ آرکیٹیکچر (OPC UA) سرورز، ایجنسیوں نے کہا۔

APTs ونڈوز پر مبنی انجینئرنگ ورک سٹیشنز سے بھی سمجھوتہ کر سکتے ہیں جو IT یا OT ماحول میں موجود ہیں ASRock میں معلوم کمزوری کا استحصال کرتے ہوئے motherboard ڈرائیور، انہوں نے کہا.

وارننگ پر دھیان دینا چاہیے۔

اگرچہ وفاقی ایجنسیاں اکثر سائبر خطرات کے بارے میں مشورے دیتی ہیں، لیکن ایک سیکورٹی پروفیشنل نے زور دیا۔ اہم بنیادی ڈھانچے فراہم کرنے والے اس خاص انتباہ کو ہلکے سے نہ لیں۔

"کوئی غلطی نہ کریں، یہ CISA کی طرف سے ایک اہم الرٹ ہے،" Tripwire میں حکمت عملی کے نائب صدر ٹم ایرلن نے Threatpost کو ایک ای میل میں مشاہدہ کیا۔ "صنعتی تنظیموں کو اس خطرے پر توجہ دینی چاہیے۔"

اس نے نوٹ کیا کہ جب الرٹ خود مخصوص ICS ڈیوائسز تک رسائی حاصل کرنے کے لیے ٹولز پر توجہ مرکوز کر رہا ہے، بڑی تصویر یہ ہے کہ ایک بار دھمکی دینے والے اداکار کے قدم جمانے کے بعد پورا صنعتی کنٹرول ماحول خطرے میں ہے۔

ایرلن نے مشورہ دیا، "حملہ آوروں کو اس میں شامل صنعتی کنٹرول سسٹم تک رسائی حاصل کرنے کے لیے سمجھوتے کے ابتدائی نقطہ کی ضرورت ہے، اور تنظیموں کو اس کے مطابق اپنا دفاع بنانا چاہیے۔"

ماڈیولر ٹول سیٹ

انہوں نے کہا کہ ایجنسیوں نے APTs کے تیار کردہ ماڈیولر ٹولز کی ایک خرابی فراہم کی جو انہیں "ہدف بنائے گئے آلات کے خلاف انتہائی خودکار کارنامے" کرنے کی اجازت دیتے ہیں۔

انہوں نے ٹولز کو کمانڈ انٹرفیس کے ساتھ ایک ورچوئل کنسول کے طور پر بیان کیا جو ٹارگٹڈ ICS/SCADA ڈیوائس کے انٹرفیس کا آئینہ دار ہوتا ہے۔ ایجنسیوں نے خبردار کیا کہ ماڈیول ٹارگٹڈ ڈیوائسز کے ساتھ تعامل کرتے ہیں، یہاں تک کہ کم ہنر مند خطرے والے اداکاروں کو بھی اعلیٰ ہنر مند صلاحیتوں کی تقلید کرنے کی صلاحیت فراہم کرتے ہیں۔

APTs ماڈیولز کا استعمال کرتے ہوئے جو اقدامات کر سکتے ہیں ان میں شامل ہیں: ٹارگٹڈ ڈیوائسز کو اسکین کرنا، ڈیوائس کی تفصیلات پر نظر ثانی کرنا، ٹارگٹ ڈیوائس پر نقصاندہ کنفیگریشن/کوڈ اپ لوڈ کرنا، ڈیوائس کے مواد کا بیک اپ لینا یا بحال کرنا، اور ڈیوائس کے پیرامیٹرز میں ترمیم کرنا۔

اس کے علاوہ، اے پی ٹی اداکار ایک ایسا ٹول استعمال کر سکتے ہیں جو ASRock مدر بورڈ ڈرائیور AsrDrv103.sys میں کسی کمزوری کو انسٹال کرتا ہے اور اس کا استحصال کرتا ہے۔ CVE-2020-15368. یہ خامی ونڈوز کرنل میں بدنیتی پر مبنی کوڈ کے نفاذ کی اجازت دیتی ہے، پس منظر کی نقل و حرکت کو IT یا OT ماحول کے ساتھ ساتھ اہم آلات یا افعال میں خلل ڈالنے کی سہولت فراہم کرتی ہے۔

مخصوص آلات کو نشانہ بنانا

اداکاروں کے پاس دوسرے پر حملہ کرنے کے لیے مخصوص ماڈیولز بھی ہوتے ہیں۔ آئی سی ایس ڈیوائسز. شنائیڈر الیکٹرک کا ماڈیول عام مینجمنٹ پروٹوکولز اور موڈبس (TCP 502) کے ذریعے آلات کے ساتھ تعامل کرتا ہے۔

یہ ماڈیول اداکاروں کو مختلف بدنیتی پر مبنی کارروائیاں کرنے کی اجازت دے سکتا ہے، بشمول مقامی نیٹ ورک پر تمام شنائیڈر پی ایل سی کی شناخت کے لیے تیز رفتار اسکین چلانا۔ زبردستی PLC پاس ورڈز؛ PLC کو نیٹ ورک کمیونیکیشنز حاصل کرنے سے روکنے کے لیے ڈینیئل آف سروس (DoS) حملہ کرنا؛ یا ایڈوائزری کے مطابق، PLC کو کریش کرنے کے لیے "موت کا پیکٹ" حملہ کرنا۔

ایجنسیوں نے کہا کہ اے پی ٹی ٹول کے دیگر ماڈیولز OMRON ڈیوائسز کو نشانہ بناتے ہیں اور نیٹ ورک پر ان کے لیے اسکین کرنے کے ساتھ ساتھ دیگر سمجھوتہ کرنے والے کام بھی انجام دے سکتے ہیں۔

مزید برآں، OMRON ماڈیولز ایک ایجنٹ کو اپ لوڈ کر سکتے ہیں جو دھمکی دینے والے اداکار کو HTTP اور/یا Hypertext Transfer Protocol Secure (HTTPS) کے ذریعے کمانڈز جیسے کہ فائل میں ہیرا پھیری، پیکٹ کیپچرز اور کوڈ پر عمل درآمد کرنے کی اجازت دیتا ہے۔

آخر میں، ایک ماڈیول جو OPC UA ڈیوائسز سے سمجھوتہ کرنے کی اجازت دیتا ہے اس میں OPC UA سرورز کی شناخت کرنے اور OPC UA سرور سے ڈیفالٹ یا پہلے سے سمجھوتہ شدہ اسناد کا استعمال کرتے ہوئے جڑنے کی بنیادی فعالیت شامل ہے، ایجنسیوں نے خبردار کیا۔

تجویز کردہ تخفیف

ایجنسیوں نے بنیادی ڈھانچے کے اہم فراہم کنندگان کے لیے تخفیف کی ایک وسیع فہرست پیش کی تاکہ اے پی ٹی ٹولز کے ذریعے ان کے سسٹمز کے سمجھوتہ سے بچ سکیں۔

"یہ پیچ لگانے جتنا آسان نہیں ہے،" ٹرپ وائر کے ایرون نے نوٹ کیا۔ فہرست میں سے، اس نے متاثرہ نظاموں کو الگ تھلگ کرنے کا حوالہ دیا۔ اختتامی نقطہ کا پتہ لگانے، ترتیب دینے اور سالمیت کی نگرانی کا استعمال؛ اور لاگ ان تجزیہ کو کلیدی اقدامات کے طور پر تنظیموں کو اپنے سسٹم کی حفاظت کے لیے فوری طور پر کرنا چاہیے۔

فیڈز نے یہ بھی تجویز کیا کہ اہم انفراسٹرکچر فراہم کرنے والوں کے پاس سائبر واقعے کے ردعمل کا منصوبہ ہے جسے IT، سائبر سیکیورٹی اور آپریشنز کے تمام اسٹیک ہولڈرز جانتے ہیں اور اگر ضروری ہو تو فوری طور پر اس پر عمل درآمد کر سکتے ہیں، نیز دیگر تخفیف کے ساتھ ساتھ خلل ڈالنے والے حملے پر تیزی سے بحالی کے لیے درست آف لائن بیک اپ بھی برقرار رکھیں۔ .

بادل میں منتقل؟ ہمارے ساتھ اپنے اثاثوں کا دفاع کرنے کے بارے میں ٹھوس مشورے کے ساتھ ابھرتے ہوئے کلاؤڈ سیکیورٹی کے خطرات کو دریافت کریں۔ مفت ڈاؤن لوڈ کے قابل ای بک، "کلاؤڈ سیکیورٹی: 2022 کے لئے پیشن گوئی۔" ہم ایسے متحرک کمپیوٹنگ ماحول میں تنظیموں کے سرفہرست خطرات اور چیلنجز، دفاع کے لیے بہترین طریقہ کار، اور حفاظتی کامیابی کے لیے مشورے، بشمول آسان چیک لسٹوں کی تلاش کرتے ہیں۔