سینڈ ورم اے پی ٹی محققین کو اپنی پگڈنڈی پر ٹرول کرتا ہے کیونکہ یہ یوکرین کو نشانہ بناتا ہے۔

روس کے فوجی GRU یونٹ سے باہر کام کرنے والے بدنام زمانہ سینڈ کیڑے کے خطرے والے گروپ کو محققین کو طعنے دینے میں کوئی فرق نہیں پڑتا جب اسے پتہ چلتا ہے کہ اسے دیکھا جا رہا ہے۔ بس رابرٹ لیپوفسکی اور ای ایس ای ٹی میں ان کے ساتھی محققین سے پوچھیں، جنہوں نے اس سال کے شروع میں سینڈ ورم کے نئے میلویئر ویریئنٹس میں سے ایک کو ڈسیکٹ کرتے وقت یہ پیغام بلند اور واضح کیا: سینڈ ورم کے حملہ آوروں نے لوڈر کو اس کے ڈیٹا صاف کرنے والے مختلف قسموں میں سے ایک کے لیے IDApro ریورس- انجینئرنگ ٹول - وہی ٹول جسے محققین نے حملہ آوروں کے مالویئر کا تجزیہ کرنے کے لیے استعمال کیا تھا۔

لیپوفسکی، ESET کے پرنسپل خطرہ انٹیلی جنس محقق، جانتے تھے کہ یہ کوئی اتفاقی بات نہیں تھی۔ سینڈ ورم غالباً ڈھٹائی کے ساتھ — اور طنزیہ انداز میں — ایک نقطہ بنا رہا تھا کہ گروپ کو معلوم تھا کہ ESET اپنے راستے پر ہے۔ وہ بتاتے ہیں کہ انجینئرنگ سب سٹیشن پر حملے میں "IDApro استعمال کرنے کی کوئی وجہ نہیں ہے" کیونکہ یہ کوئی ایسا آلہ نہیں ہے جو اس سسٹم پر استعمال کیا جائے۔ "یہ بالکل واضح ہے کہ حملہ آور پوری طرح سے باخبر ہیں کہ ہم ان کے ساتھ ہیں اور ان کی دھمکیوں کو روک رہے ہیں۔ میں کہوں گا کہ وہ شاید ہمیں ٹرول کر رہے ہیں۔

یہ واحد پیغام نہیں تھا جو سینڈ ورم بھیج رہا تھا۔ اس گروپ نے یوکرائنی نیٹ ورکس کو نشانہ بناتے ہوئے ESET کے سیکیورٹی سافٹ ویئر کا ٹروجن سے لیس ورژن بھی گرا دیا۔ "وہ ایک پیغام بھیج رہے تھے کہ وہ جانتے ہیں کہ ہم یوکرین میں صارفین کی حفاظت کے لیے اپنا کام کر رہے ہیں،" Lipovsky کہتے ہیں۔

Lipovsky ESET ٹیم کا حصہ تھا جس نے — یوکرین کی کمپیوٹر ایمرجنسی رسپانس ٹیم (CERT-UA) اور Microsoft کے ساتھ — نے اپریل میں اپنے گیم کو تبدیل کرنے والے Industroyer میلویئر ہتھیار کے ایک نئے ورژن کا استعمال کرتے ہوئے یوکرین میں ایک توانائی کمپنی پر Sandworm کے سائبر حملے کو روک دیا، صنعت کار2۔ اگر اسے بروقت ناکام نہ بنایا گیا ہوتا تو یہ حملہ ملک کے الیکٹرک گرڈ کے ایک حصے سے کئی ہائی وولٹیج سب سٹیشنوں کو کھٹکھٹا دیتا۔

Industroyer2 پہلے تکرار (Industroyer) کا زیادہ حسب ضرورت ورژن ہے۔ دسمبر 2016 میں سینڈ کیڑا نکلا۔یوکرین کے دارالحکومت کیف کے کچھ حصوں میں عارضی طور پر بجلی بند کر دی گئی۔ اپریل میں Industroyer2 حملے کی کوشش بھی تباہ کن ڈسک وائپنگ ٹولز کے ساتھ آئی تھی جو ونڈوز، لینکس اور سولاریس پر چلنے والے انجینئرنگ ورک سٹیشنوں کو تباہ کرنے کے لیے ڈیزائن کیے گئے تھے، جب حملہ آوروں کے منصوبہ بند پاور بلیک آؤٹ کو نشانہ بنایا گیا تو بحالی کی کارروائیوں کو ناکام بنانے کی کوشش میں۔ Industroyer پہلا معلوم میلویئر تھا جو لائٹس کو بند کرنے کے قابل تھا، اور یہ برقی سب سٹیشنوں میں ICS ہارڈویئر کے ساتھ بات چیت کرسکتا ہے - مثال کے طور پر - سرکٹ بریکرز اور حفاظتی ریلے - مقبول صنعتی نیٹ ورک پروٹوکول کے ذریعے۔

اپریل میں یوکرین پر Industroyer2 حملے کی کوشش کو ہائی پروفائل ناکام بنانے کے بعد بھی، Sandworm یوکرین کے سائبر ڈیفنس پر مسلسل ہتھوڑا لگا رہا ہے۔ "یہ Industroyer2 کے ساتھ ختم نہیں ہوا۔ یہ آج بھی جاری ہے،" لیپوفسکی کہتے ہیں، جو ESET کے سینئر میلویئر محقق انتون چیریپانوف کے ساتھ اشتراک کریں گے۔ ان کے اندرونی نقطہ نظر Sandworm کے اور گروپ کے Industroyer2 میلویئر کو جدا کریں۔ اگلے ماہ لاس ویگاس میں بلیک ہیٹ USA میں. 

"آج کل زیادہ وائپرز ہیں … اور نئی پھانسی کی زنجیریں استعمال کی جا رہی ہیں،" وہ کہتے ہیں۔

یوکرین کے بنیادی ڈھانچے کے خلاف Sandworm کی طرف سے حالیہ حملے کی زیادہ تر کوششوں میں اب ڈسک صاف کرنے والے ہتھیار ہیں۔ وہ کہتے ہیں کہ جب روس نے پہلی بار یوکرین پر حملہ کیا تو ہم نے فروری کے بعد سے رکاوٹ کی سرگرمیاں [کوششیں] میں اضافہ دیکھا ہے۔ انہوں نے مزید کہا کہ سائبر جاسوسی حملوں کے ذریعے انٹیل اکٹھا کرنا بھی فعال رہا ہے، انہوں نے مزید کہا کہ اگرچہ سینڈ ورم یوکرین کو نشانہ بنانے والا سب سے نمایاں روسی خطرہ اداکار ہے، لیکن یہ واحد نہیں ہے۔

Industroyer2 اپ کلوز

اپنی بلیک ہیٹ ٹاک میں، Lipovsky اور Cherepanov سینڈ ورم کے بارے میں مزید تکنیکی تفصیلات ظاہر کرنے کا ارادہ رکھتے ہیں جو ابھی تک عام نہیں کی گئی ہیں، اور ساتھ ہی قومی ریاست کے گروپ کے حملوں کے خلاف دفاع کے لیے افادیت کے لیے سفارشات بھی شیئر کریں گے۔

Lipovsky اور ان کی ٹیم Industroyer2 کو پہلے ورژن کے ایک آسان، زیادہ ہموار ورژن کے طور پر بیان کرتی ہے۔ پہلے صنعت کار کے برعکس، Industroyer2 صرف ایک OT پروٹوکول، IEC 104 بولتا ہے۔ اصل ورژن میں چار مختلف صنعتی پروٹوکول استعمال کیے گئے تھے۔ یہ ممکنہ طور پر اس طرح زیادہ موثر اور مرکوز ہے: "[IEC 104] یورپ میں سب سے زیادہ عام [OT] پروٹوکول اور ایک علاقائی چیز ہے"، وہ نوٹ کرتے ہیں۔

Industroyer2 کے ساتھ ڈسک کو صاف کرنے کی صلاحیتیں پہلے ورژن کی صلاحیت کو ختم کرتی ہیں۔ "پہلا ایک فریم ورک تھا جس میں ایک سے زیادہ اجزاء تھے، اور یہ اضافی ماڈیولز کو بھی کال کر رہا تھا جو مسح کرنے کے لیے موجود تھے،" وہ کہتے ہیں۔ Industroyer2 زیادہ "خود ساختہ" ہے اور وائپرز کو علیحدہ ایگزیکیوٹیبل کے طور پر پیش کرتا ہے، وہ کہتے ہیں، میلویئر ہتھیار جو دیگر حالیہ سائبر واقعات میں دریافت ہوئے ہیں۔ 

کیڈی وائپر Industroyer2 کے ساتھ استعمال ہونے والا مین ڈسک وائپر ہے۔ فروری میں روس کے یوکرین پر حملہ کرنے سے 24 گھنٹے پہلے، اپریل کے اوائل میں ایک سرکاری ایجنسی اور یوکرین کی توانائی کی فرم کے کچھ ونڈوز ورک سٹیشنوں پر سینڈ ورم نے کیڈی وائپر کو یوکرین کے ایک بینک کی طرف اشارہ کیا۔ سینڈ ورم نے وہاں لینکس اور سولاریس ورک سٹیشنوں پر تباہ کن میلویئر پروگرام ORCSHRED، SOLOSHRED، اور AWFULSHRED بھی ترتیب دیے۔ اور، فائنل ٹچ کے طور پر، Sandworm نے Industroyer8 کے تمام شواہد کو مٹانے کے لیے CaddyWiper کو 2 اپریل کو انجام دینے کے لیے شیڈول کیا تھا، لیکن اسے بلاک کر دیا گیا۔

دلچسپ بات یہ ہے کہ سینڈ ورم عام طور پر ڈومین کنٹرولرز کو صاف نہیں کرتا ہے، تاکہ متاثرہ کے نیٹ ورک میں اس کے اپنے قدموں میں خلل نہ پڑے۔ لیپوفسکی کا کہنا ہے کہ "وہ کسی ہدف کی کارروائیوں میں خلل ڈالنے کے لیے باقاعدہ ورک سٹیشنوں کا صفایا کرتے ہیں، لیکن وہ ماحول میں گھس جانے کے بعد اپنی موجودگی برقرار رکھنا چاہتے ہیں۔"

یہاں تک کہ ESET اور دیگر محققین اب Industroyer2 کے بارے میں جانتے ہیں، اس کے باوجود یوکرائن کی توانائی فرم پر Industroyer2 کے حملے میں ابتدائی حملے کے ویکٹر کی کوئی مکمل تصویر نہیں ہے۔ CERT-UA نے کہا کہ حملہ دو مرحلوں میں ہوا دکھائی دیتا ہے، پہلا ممکنہ طور پر اس سال فروری میں اور دوسرا اپریل میں، جب مقصد بجلی کے سب سٹیشنوں کو منقطع کرنا اور 8 اپریل کو بجلی کی کارروائیوں کو سبوتاژ کرنا تھا۔

صنعت کار، سینڈ ورم کے خلاف دفاع

جبکہ Industroyer2 کو یوکرین پر تربیت دی گئی ہے، اس کے ابھرنے نے OT انڈسٹری کو ہلا کر رکھ دیا ہے۔ "انڈسٹرائر پوری ICS کمیونٹی کے لیے ایک ویک اپ کال تھی۔ لیپوفسکی کا کہنا ہے کہ یہ ایک سنگین خطرہ ہے۔

Industroyer اور متعلقہ حملوں سے OT نیٹ ورک کی حفاظت کے لیے پلے بک دوسروں سے زیادہ مختلف نہیں ہے۔ "یہ وہی ہے جو ہم ہمیشہ کہتے رہے ہیں: ماحول میں مرئیت حاصل کریں؛ EDR، XDR ٹولز ہیں؛ اسٹیک میں سیکیورٹی کی متعدد پرتیں؛ اور رسائی کے کنٹرول،" Lipovsky کہتے ہیں.

بلیک ہیٹ لیپوفسکی اور چیریپانوف میں اپنی گفتگو میں EDR کے قواعد، پس منظر کی نقل و حرکت کو روکنے کے لیے کنفیگریشن کی تجاویز، اور Snort اور YARA ٹولز کے قواعد بھی شیئر کریں گے۔

وہ اس بات کا اعادہ کرنے کا بھی ارادہ رکھتے ہیں کہ OT نیٹ ورکس میں انجینئرنگ ورک سٹیشن بڑے اہداف بن چکے ہیں، اس لیے انہیں حفاظتی مساوات کا حصہ بننا ہوگا۔ "بہت سے SCADA سافٹ ویئر اور نگرانی باقاعدہ ورک سٹیشنوں پر ہو رہی ہے جو ونڈوز یا لینکس چلاتے ہیں۔ ان مشینوں میں مناسب حفاظتی اقدامات اور حل ہونے چاہئیں جو کثیرالجہتی ہوں،" بشمول EDR یا XDR ٹولز چلانا، وہ کہتے ہیں۔