ڈرفٹ پروٹوکول ہیک: کس طرح شمالی کوریا کے ایک گروپ نے ڈی فائی پروٹوکول میں دراندازی کرتے ہوئے چھ ماہ گزارے۔

ٹیبل آف کنٹینٹ ڈرفٹ پروٹوکول کو 1 اپریل 2026 کو ایک بڑے استحصال کا سامنا کرنا پڑا، جس سے مکمل پروٹوکول منجمد ہوگیا۔ اس واقعے کے بعد سے ایک منظم، مہینوں طویل انٹیلیجنس آپریشن کے طور پر انکشاف ہوا ہے۔ فرانزک پارٹنرز، بشمول مینڈینٹ، خلاف ورزی کی تحقیقات میں قانون نافذ کرنے والے اداروں کی مدد کر رہے ہیں۔ ابتدائی نتائج شمالی کوریا کے ریاست سے وابستہ خطرے والے گروپ کی طرف اشارہ کرتے ہیں جو ممکنہ طور پر مجرم ہیں۔ یہ اب تک کی سب سے دانستہ سوشل انجینئرنگ مہموں میں سے ایک کو نشان زد کرتا ہے جو وکندریقرت مالیات میں دستاویز کی گئی ہے۔ ڈرفٹ پروٹوکول پر حملہ اس دن شروع نہیں ہوا جس دن یہ ہوا تھا۔ یہ موسم خزاں 2025 کا پتہ لگاتا ہے، جب ایک بڑی کرپٹو کانفرنس میں تعاون کرنے والوں سے رابطہ کیا گیا تھا۔ گروپ نے خود کو ایک مقداری تجارتی فرم کے طور پر پیش کیا جو پروٹوکول انضمام کی تلاش میں ہے۔ وہ تکنیکی طور پر روانی تھے اور قابل تصدیق پیشہ ورانہ پس منظر رکھتے تھے۔ اگلے مہینوں میں، اس گروپ کے افراد نے ذاتی طور پر ڈرفٹ کے تعاون کرنے والوں سے ملنا جاری رکھا۔ یہ ملاقاتیں کئی ممالک میں متعدد صنعتی کانفرنسوں میں ہوئیں۔ پہلی ملاقات سے ہی ٹیلی گرام گروپ قائم کیا گیا تھا۔ اس کے بعد تجارتی حکمت عملیوں اور والٹ انضمام کے بارے میں مہینوں کی تفصیلی گفتگو ہوئی۔ دسمبر 2025 سے جنوری 2026 تک، گروپ نے پروٹوکول پر ایک Ecosystem Vault پر سوار ہوا۔ انہوں نے اپنے اپنے سرمائے میں سے $1 ملین سے زیادہ جمع کیے اور متعدد ورکنگ سیشنز میں حصہ لیا۔ فروری اور مارچ 2026 تک، پروٹوکول نے نوٹ کیا کہ "یہ اجنبی نہیں تھے؛ یہ وہ لوگ تھے جن کے ساتھ Drift تعاون کرنے والوں نے کام کیا تھا اور ذاتی طور پر ملاقات کی تھی۔" اس پورے عرصے میں پروجیکٹس، ٹولز اور ایپلیکیشنز کے لنکس کو معمول کے مطابق شیئر کیا گیا تھا۔ بعد ازاں تحقیقات سے یہ بات سامنے آئی کہ "اس آپریشن میں استعمال ہونے والے پروفائلز نے مکمل طور پر شناخت بنائی تھی جس میں ملازمت کی تاریخ، عوام کے سامنے آنے والے اسناد اور پیشہ ورانہ نیٹ ورکس شامل ہیں۔" تعاون کنندگان ان کے ساتھ پروڈکٹ کے تفصیلی مباحثوں میں مصروف ہیں۔ اس نے وقت کے ساتھ ساتھ ڈرفٹ ایکو سسٹم کے اندر ایک قابل اعتماد آپریشنل موجودگی پیدا کی۔ 1 اپریل کے استحصال کے بعد، متاثرہ آلات اور مواصلات کے فرانزک جائزے نے تجارتی گروپ کو ممکنہ مداخلت کے ویکٹر کے طور پر جھنڈا دیا۔ حملے کے فوراً بعد ان کے ٹیلی گرام چیٹس اور بدنیتی پر مبنی سافٹ ویئر کو مکمل طور پر مٹا دیا گیا۔ اس کے بعد سے جاری تحقیقات سے تین ممکنہ حملے کے ویکٹر سامنے آئے ہیں۔ ایک شراکت دار نے گروپ کے ذریعے اشتراک کردہ کوڈ ریپوزٹری کو کلون کیا ہو گا۔ اسے ان کے والٹ کے لیے فرنٹ اینڈ تعیناتی کے طور پر پیش کیا گیا تھا۔ ایک اور تعاون کنندہ کو گروپ کے والیٹ پروڈکٹ کے طور پر تیار کردہ TestFlight ایپلیکیشن ڈاؤن لوڈ کرنے کی ترغیب دی گئی۔ ریپوزٹری پر مبنی ویکٹر کے بارے میں، "صرف ایڈیٹر میں فائل، فولڈر، یا ریپوزٹری کو کھولنا خاموشی سے صوابدیدی کوڈ پر عمل درآمد کرنے کے لیے کافی تھا، جس میں صارف، کلکس، اجازت ڈائیلاگ یا کسی بھی قسم کی وارننگ کے لیے کوئی اشارہ یا اشارہ نہیں تھا۔" متاثرہ ہارڈ ویئر کا مکمل فرانزک تجزیہ جاری ہے۔ ڈرفٹ نے اس کے بعد وسیع تر ماحولیاتی نظام پر زور دیا ہے کہ "اپنی ٹیموں کو چیک ان کریں، آڈٹ کریں کہ کس کو کس چیز تک رسائی حاصل ہے، اور ہر وہ ڈیوائس جو آپ کے ملٹی سیگ کو چھوتی ہے اسے ممکنہ ہدف کے طور پر دیکھے۔" درمیانے درجے کے اعتماد کے ساتھ، SEALS 911 ٹیم نے اس کا اندازہ UNC4736 کے کام کے طور پر کیا۔ وہ گروپ شمالی کوریا کا ریاست سے وابستہ اداکار ہے جسے AppleJeus یا Citrine Sleet کے نام سے ٹریک کیا جاتا ہے۔ آن چین فنڈ فلو اور اوور لیپنگ پرسن اس مہم کو اکتوبر 2024 کے ریڈیئنٹ کیپٹل ہیک سے جوڑتے ہیں۔ وہ افراد جو ذاتی طور پر ظاہر ہوئے وہ شمالی کوریا کے شہری نہیں تھے، کیونکہ DPRK کے دھمکی آمیز اداکاروں کو براہ راست رابطے کے لیے فریق ثالث کا استعمال کرنے کے لیے جانا جاتا ہے۔