Lazarus կիբեռխմբավորումը գրոհում է պաշտպանական ձեռնարկություններն ամբողջ աշխարհում
«Կասպերսկի» ընկերության փորձագետները 2020 թվականի կեսերին հայտնաբերել են բարդ նպատակային գրոհներում մասնագիտացած Lazarus խմբի նոր վնասաբեր արշավը։ Չարագործները ընդլայնել են իրենց պորտֆելը պաշտպանական արդյունաբերության վրա գրոհներով, որոնցում նրանք օգտագործել են Manuscrypt կլաստերին դասվող ThreatNeedle վնասաբեր ծրագիրը: Գրոհների զոհերի թվում եղել են ռուսական ձեռնարկություններ։ Գրանցվել են նաև չարագործների ենթակառուցվածքների հետ Եվրոպայից, Հյուսիսային Ամերիկայից, Մերձավոր Արևելքից և Ասիայից կապի դեպքեր, ինչը կարող է խոսել նաև այդ տարածաշրջաններում հնարավոր զոհերի մասին։
Երբ տուժած կազմակերպություններից մեկը դիմել է օգնության համար, ընկերության փորձագետները ցանցում հայտնաբերել են ThreatNeedle բեկդորը, որը նախկինում նկատվել է կրիպտոարժութային ընկերությունների վրա Lazarus-ի գրոհներում։ Նախնական վարակը տեղի է ունեցել թիրախային ֆիշինգի միջոցով. չարագործները շեշտը դրել են արդիական՝ կորոնավիրուսային վարակի կանխարգելման և ախտորոշման թեմայի վրա։ Այս արշավի ամենահետաքրքիր մանրամասներից մեկը կապված է այն բանի հետ, թե ինչպես են չարագործները հաղթահարել ցանցի սեգմենտավորումը։
Գրոհի ենթարկված ձեռնարկության ցանցը բաժանված է եղել երկու սեգմենտների՝ կորպորատիվ (ցանց, որի համակարգիչներն ունեն հասանելիություն համացանցին) և մեկուսացված (ցանց, որի համակարգիչները պարունակում են գաղտնի տվյալներ և չունեն հասանելիություն համացանցին)։ Չարագործներին հաջողվել է ստանալ երթուղիչի հաշվառման տվյալները, որն ադմինիստրատորներն օգտագործել են մեկուսացված և կորպորատիվ ցանցերին միացումների համար։ Փոխելով դրա կարգավորումները և այդտեղ լրացուցիչ ծրագրային ապահովում տեղադրելով, նրանք կարողացել են այն վերածել ձեռնարկության ցանցում վնասաբեր ԾԱ-ի հոսթինգի: Դրանից հետո երթուղիչը օգտագործվել է մեկուսացված սեգմենտ մուտք գործելու, դրանից տվյալներ դուրս բերելու և դրանք կառավարող սերվեր ուղարկելու համար։
«Lazarus-ը ոչ միայն գերակտիվ, այլև շատ առաջ գնացած խումբ է։ Չարագործները ոչ միայն հաղթահարել են ցանցի սեգմենտավորումը, այլև մանրակրկիտ հետազոտություն են անցկացրել, որպեսզի ստեղծեն անհատականացված և արդյունավետ ֆիշինգային տարածում և կարգավորվող գործիքներ՝ գողացված տեղեկատվությունը հեռավար սերվեր փոխանցելու համար։ Ձեռնարկություններին անհրաժեշտ է անվտանգության լրացուցիչ միջոցներ ձեռնարկել կիբեռլրտեսության նման արշավներից պաշտպանվելու համար»,- պարզաբանում է Kaspersky ICS CERT-ի ավագ փորձագետ Վյաչեսլավ Կոպեյցևը։
ThreatNeedle Backdoor-ի կիրառմամբ գրոհի մասին ավելին կարելի է իմանալ այստեղ.: