Չինարեն խոսող կիբեռխումբը գրոհում է պաշտպանական ձեռնարկություններն ու պետմարմինները Արևելյան Եվրոպայի երկրներում, ՌԴ-ում և Աֆղանստանում
«Կասպերսկի» ընկերության փորձագետները 2022-ի սկզբին գրանցել են Աֆղանստանի, Ռուսաստանի և Արևելյան Եվրոպայի մի շարք երկրների պաշտպանական ձեռնարկությունների և պետական հաստատությունների վրա թիրախային գրոհների ալիք:
Ընդամենը հետաքննության ընթացքում մասնագետները հայտնաբերել են գրոհներ ավելի քան 12 կազմակերպությունների վրա։ Ենթադրվում է, որ չարագործների նպատակը կիբեռլրտեսությունն է եղել։ Փորձագետները ենթադրում են, որ հայտնաբերված գրոհների շարքը, հնարավոր է, կապված է չինական TA 428 կիբեռխմբի գործունեության հետ: Դրանում օգտագործվել են նախկինում հայտնի բեկդորների նոր մոդիֆիկացիաներ։
«Կասպերսկի» ընկերությունը հայտնում է, որ գրոհողներին հաջողվել է մի շարք դեպքերում ամբողջությամբ գրավել ՏՏ-ենթակառուցվածքը։ Դրա համար նրանք օգտագործել են լավ նախապատրաստած ֆիշինգային նամակներ։ Դրանք պարունակել են ներքին տեղեկատվություն, որը հրապարակային աղբյուրներում հասանելի չի եղել չարագործների կողմից դրա օգտագործման պահին, այդ թվում՝ գաղտնի տեղեկատվության հետ աշխատող աշխատակիցների անուն, ազգանունները, ինչպես նաև նախագծերի ներքին կոդային անվանումները: Ֆիշինգային նամակներին կցվել են CVE-2017-11882 խոցելիությունը շահագործող վնասաբեր կոդով Microsoft Word փաստաթղթեր: Այն վնասաբեր ծրագրին թույլ է տալիս առանց օգտագործողի կողմից լրացուցիչ գործողությունների հասանելիություն ստանալ վարակված համակարգի կառավարմանը, օգտատիրոջից նույնիսկ չի պահանջվում միացնել մակրոսների կատարումը։
Որպես գրոհի զարգացման հիմնական գործիք չարագործներն օգտագործել են Ladon ծրագիրը, որն ունի ցանցի սքանավորման, խոցելիությունների որոնման և շահագործման, գաղտնաբառերի գողության հնարավորություններ: Վերջնական փուլում նրանք գրավել են դոմենի կոնտրոլերը և հետագայում ամբողջական վերահսկողություն ստացել կազմակերպության՝ չարագործներին հետաքրքրող աշխատակայանների և սերվերների նկատմամբ: Ստանալով անհրաժեշտ իրավունքները՝ չարագործները ձեռնամուխ են եղել գաղտնի տվյալներ պարունակող ֆայլերի որոնմանն ու ներբեռնմանը տարբեր երկրներում տեղակայված իրենց սերվերներ։ Այդ նույն սերվերները օգտագործվել են վնասաբեր ծրագրային ապահովման կառավարման համար։
«Թիրախային ֆիշինգը մնում է արդյունաբերական ձեռնարկությունների և պետական հաստատությունների համար առավել արդիական սպառնալիքներից մեկը: Մեր հայտնաբերած գրոհների շարքը, ըստ երևույթին, առաջինը չէ վնասաբեր արշավում։ Քանի որ չարագործները հաջողության են հասնում, մենք ենթադրում ենք, որ նման գրոհները կարող են կրկնվել նաև ապագայում։ Ձեռնարկություններին և պետական կազմակերպություններին անհրաժեշտ է զգոն լինել և համապատասխան աշխատանք տանել բարդ նպատակային սպառնալիքները հետ մղելուն նախապատրաստվելու ուղղությամբ»,- մեկնաբանում է Kaspersky ICS CERT-ի ավագ փորձագետ Վյաչեսլավ Կոպեյցևը:
Հետաքննության մասին հոդվածի ամբողջական տարբերակը հասանելի է հղումով: