کراؤڈ اسٹرائیک اور گوگل نے سپلائی چین حملوں میں سافٹ ویئر ڈویلپرز کو نشانہ بنانے کے لیے ہیکرز کے ذریعے استعمال ہونے والے بوٹ نیٹ کو ہٹا دیا

CrowdStrike، Google اور Shadowserver کے ساتھ کام کرنے والی، ایک غیر منفعتی تنظیم جو سائبر حملوں کے لیے انٹرنیٹ کو اسکین اور مانیٹر کرتی ہے، نے ایک بوٹ نیٹ کو ہٹا دیا جسے سائبر کرائمین میلویئر کو آگے بڑھانے اور اوپن سورس سافٹ ویئر ڈویلپرز سے پاس ورڈ چرانے کے لیے استعمال کرتے تھے۔

CrowdStrike کے مطابق، ٹیک ڈاؤن آپریشن کا مقصد نام نہاد Glassworm botnet کے پیچھے سائبر جرائم پیشہ افراد کی سرگرمیوں میں خلل ڈالنا تھا، جو دو سالوں سے وسیع اوپن سورس سافٹ ویئر سپلائی چین کو نشانہ بنا رہے ہیں۔

حالیہ مہینوں میں، کئی ہیکنگ گروپس نے ڈویلپرز اور اوپن سورس پروجیکٹس کو نقصان پہنچانے والے سافٹ ویئر کو کمپنیوں اور تنظیموں تک پہنچانے کے لیے نشانہ بنایا ہے جو بدلے میں اس سافٹ ویئر کا استعمال کرتے ہیں۔ یہ حملے موثر ہو سکتے ہیں کیونکہ وہ اس اعتماد کا استحصال کرتے ہیں جو کمپنیاں اس کوڈ میں ڈالتی ہیں جو GitHub جیسے پلیٹ فارمز پر ہوسٹ کیا جاتا ہے، اور اس کوڈ کے پیچھے کارکنان۔

"مخالف اب صرف مصنوعات کو نشانہ نہیں بنا رہے ہیں، وہ ان ڈویلپرز کو نشانہ بنا رہے ہیں جو انہیں بناتے ہیں،" CrowdStrike نے ٹیک ڈاؤن آپریشن کے بارے میں اپنی رپورٹ میں لکھا۔ "ڈویلپرز منفرد طور پر اعلیٰ قدر والے اہداف کی نمائندگی کرتے ہیں: کسی ایک ڈویلپر کے ورک سٹیشن سے سمجھوتہ کرنے سے سپلائی چین کے سمجھوتہ میں تبدیل ہو سکتا ہے جو ہزاروں نیچے کی تنظیموں اور صارفین کو متاثر کرتا ہے۔"

Glassworm ہیکرز نے اپنے بدنیتی پر مبنی کوڈ کو باہر نکالنے کے لیے کئی حکمت عملیوں کا استعمال کیا۔ اس میں ڈیولپرز کے ذریعہ استعمال ہونے والے بازار میں بدنیتی پر مبنی ایکسٹینشن شائع کرنا شامل ہے۔ میلورٹائزنگ کے ذریعے — جہاں ہیکرز سپانسر شدہ تلاش کے نتائج کے لیے ادائیگی کرتے ہیں جو متاثرین کو میلویئر ڈاؤن لوڈ کرنے کے لیے دھوکہ دیتے ہیں۔ اور پچھلے ہیکس میں چوری ہونے والی اسناد کا استعمال کرتے ہوئے، جس نے ڈویلپر اکاؤنٹس کو ہائی جیک کرنے اور ان کے کوڈ میں میلویئر لگانے کی اجازت دی۔

آخر میں، ہیکرز زہر دینے میں کامیاب ہو گئے — جیسا کہ CrowdStrike نے کہا — 300 سے زیادہ GitHub کوڈ ریپوزٹریز۔

ہم سے رابطہ کریں کیا آپ کے پاس گلاس ورم ہیکنگ گروپ کے بارے میں مزید معلومات ہیں؟ یا سپلائی چین کے دیگر حملوں کے بارے میں؟ غیر کام کے آلے سے، آپ Lorenzo Franceschi-Bicchierai سے سگنل پر محفوظ طریقے سے +1 917 257 1382 پر، یا ٹیلیگرام، Keybase اور Wire @lorenzofb کے ذریعے، یا ای میل کے ذریعے رابطہ کر سکتے ہیں۔

CrowdStrike نے کہا کہ وہ Glassworm ہیکرز کے زیر استعمال چار کمانڈ اینڈ کنٹرول چینلز کو ہٹانے میں کامیاب رہا، جس نے متاثرہ کمپیوٹرز تک ہیکرز کی رسائی کو ختم کر دیا اور انہیں مزید میلویئر فراہم کرنے سے روک دیا۔

CrowdStrike کے مطابق، کمانڈ اینڈ کنٹرول سرورز سولانا بلاکچین، بٹ ٹورینٹ پیئر ٹو پیئر نیٹ ورک، گوگل کیلنڈر، اور ورچوئل پرائیویٹ سرورز پر انحصار کرتے ہیں۔

یہ واضح نہیں ہے کہ CrowdStrike اور دیگر نے آپریشن کو ختم کرنے کے لیے کس قانونی یا تکنیکی اتھارٹی کے تحت کام کیا۔ CrowdStrike کے ترجمان نے فوری طور پر کوئی تبصرہ نہیں کیا۔

پچھلے ہفتے، ہیکرز نے کئی اوپن سورس پروجیکٹس سے سمجھوتہ کیا جس نے ایک مختلف ہیکنگ مہم میں بدنیتی پر مبنی اپ ڈیٹس کو آگے بڑھایا جسے "منی شائی-ہولد" کہا جاتا تھا۔ ایک OpenAI ڈویلپر سے ہیکرز کے اس گروپ نے سمجھوتہ کیا تھا۔ مارچ میں ایک اور سپلائی چین حملے میں، شمالی کوریا کے ایک مشتبہ ہیکر نے مقبول اوپن سورس سافٹ ویئر ڈویلپمنٹ ٹول Axios کو ہائی جیک کر لیا، جسے لاکھوں ڈویلپرز استعمال کرتے ہیں۔