روسی ہیکرز کا حملوں کے لیے پاکستانی ہیکرز کے سرورز کو ہائی جیک کرنے کا انکشاف

بدنام زمانہ روسی سائبر جاسوسی گروپ "ٹورلا” دیگر ہیکرز کو ہیک کر رہا ہے، پاکستانیہیکرز کے گروپ "اسٹورم-0156” کے انفراسٹرکچر کو ہائی جیک کرکے اپنے خفیہ حملے انجام دے رہا ہے جو پہلے سے متاثرہ نیٹ ورکس پر کیے گئے ہیں۔

باغی ٹی وی کی تحقیق کے مطابق اس حکمتِ عملی کو استعمال کرتے ہوئے، ٹورلا (جسے "سیکریٹ بلزرڈ” بھی کہا جاتا ہے) نے اسٹورم-0156 کے پہلے سے متاثرہ نیٹ ورکس، جیسے افغان اور بھارتی حکومتی ادارے، تک رسائی حاصل کی اور اپنے میلویئر ٹولز تعینات کیے۔لومن کے بلیک لوٹس لیبز کی ایک رپورٹ کے مطابق، جو اس مہم کو جنوری 2023 سے مائیکروسافٹ کی تھریٹ انٹیلیجنس ٹیم کی مدد سے ٹریک کر رہی ہے، ٹورلا کا یہ آپریشن دسمبر 2022 سے جاری ہے۔

ٹورلا گروپ کی شناخت

ٹورلا (جسے "سیکریٹ بلزرڈ” بھی کہا جاتا ہے) روسی ریاست کے زیرسرپرستی کام کرنے والا ہیکنگ گروپ ہے جو روس کی فیڈرل سیکیورٹی سروس (FSB) کے مرکز 16 سے منسلک ہے۔ یہ یونٹ غیر ملکی اہداف سے ڈیٹا کے حصول، انکوڈنگ، اور ڈیٹا اکٹھا کرنے کا ذمہ دار ہے۔یہ خطرناک عناصر 1996 سے خفیہ سائبر جاسوسی مہمات کے ذریعے دنیا بھر میں حکومتوں، اداروں، اور تحقیقاتی مراکز کو نشانہ بناتے رہے ہیں۔
انہیں امریکہ کے سینٹرل کمانڈ، پینٹاگون، ناسا، مشرقی یورپ کی متعدد وزارتِ خارجہ، اور فن لینڈ کی وزارتِ خارجہ پر سائبر حملوں کے پیچھے ذمہ دار سمجھا جاتا ہے۔حال ہی میں، "فائیو آئیز” اتحاد نے ٹورلا کے "اسنیک” سائبر جاسوسی میلویئر بوٹ نیٹ کو ناکام بنایا، جو آلات کو متاثر کرنے، ڈیٹا چوری کرنے، اور نیٹ ورکس میں چھپنے کے لیے استعمال کیا جا رہا تھا۔

اسٹورم-0156 پر حملہ

لومن نے کئی سالوں سے اسٹورم-0156 کے حملوں کی نگرانی کی ہے کیونکہ یہ گروپ بھارت اور افغانستان پر حملے کر رہا تھا۔اس نگرانی کے دوران، محققین نے ایک کمانڈ اینڈ کنٹرول سرور (C2) دریافت کیا جس پر "hak5 Cloud C2” کا بینر دکھائی دیا۔ یہ C2 اس بات کی نشاندہی کرتا ہے کہ حملہ آور ممکنہ طور پر کسی بھارتی حکومتی نیٹ ورک پر ایک فزیکل ڈیوائس، جیسے وائی فائی پائن ایپل، نصب کرنے میں کامیاب رہے۔مزید تحقیق کے دوران، لومن نے اسٹورم-0156 کے نیٹ ورک میں ٹورلا کی موجودگی دریافت کی جب عجیب نیٹ ورک رویے دیکھے گئے، جیسے کہ C2 تین VPS آئی پی ایڈریسز کے ساتھ تعامل کر رہا تھا جو روسی ہیکرز سے منسلک تھے۔

ٹورلا کی مزید کارروائیاں

2022 کے آخر میں، ٹورلا نے اسٹورم-0156 کے متعدد C2 نوڈز میں داخل ہوکر اپنے میلویئر پےلوڈز، جیسے ٹائنی ٹورلا بیک ڈور ویرینٹ، ٹو ڈیش بیک ڈور، اسٹیچی زی کلپ بورڈ مانیٹر، اور منی پاکٹ ڈاؤن لوڈر، تعینات کیے۔مایئکروسافٹ کا کہنا ہے کہ یہ رسائی زیادہ تر افغان حکومت کے اداروں، بشمول وزارتِ خارجہ، جنرل ڈائریکٹوریٹ آف انٹیلیجنس (GDI)، اور افغان حکومت کے غیر ملکی قونصل خانوں پر بیک ڈورز نصب کرنے کے لیے استعمال ہوئی۔

ہیکرز کے خلاف ہیکنگ

2023 کے وسط تک، روسی حملہ آوروں نے اسٹورم-0156 کے اپنے ورک سٹیشنز میں بھی داخل ہوکر میلویئر ٹولز، چوری شدہ اسناد، اور ڈیٹا تک رسائی حاصل کی۔لومن کا کہنا ہے کہ اس طرح کی کارروائیاں ریاستی حملہ آوروں کے ماحول میں نسبتاً آسان ہوتی ہیں کیونکہ یہ جدید سیکیورٹی ٹولز استعمال کرنے سے قاصر ہوتے ہیں۔

جدید حکمت عملی

ٹورلا کا یہ طریقہ کار، جس میں وہ دیگر حملہ آوروں کے انفراسٹرکچر کا استحصال کرتے ہیں، انہیں بغیر اپنا آپ ظاہر کیے خفیہ طور پر انٹیلیجنس جمع کرنے کا موقع دیتا ہے، جبکہ ذمہ داری کو منتقل کرنے اور شناخت کو پیچیدہ بنانے میں مدد دیتا ہے۔روس کے ہیکرز 2019 سے اس حکمت عملی کو استعمال کر رہے ہیں، جب انہوں نے ایرانی ریاستی حمایت یافتہ گروپ "آئل ریگ” کے انفراسٹرکچر اور میلویئر کا فائدہ اٹھاتے ہوئے مختلف ممالک پر حملے کیے۔