«Կասպերսկի». Cring ծածկագրիչը գրոհում է արդյունաբերական օբյեկտները VPN սերվերներում խոցելիության միջոցով

Չարագործները 2021-ի սկզբին մի շարք գրոհներ են իրականացրել՝ օգտագործելով Cring ծածկագրիչը։

Գրոհի ենթարկված ձեռնարկություններից մեկում Kaspersky ICS CERT-ի փորձագետների կողմից միջադեպի հետաքննությունը պարզել է, որ Cring ծածկագրիչի գրոհներում օգտագործվում է VPN-սերվերների խոցելիությունը:

Զոհերի թվում են Եվրոպայի երկրներում գործող արդյունաբերական ձեռնարկությունները։ Եվ առնվազն մեկ դեպքում ծածկագրիչի գրոհը հանգեցրել է մի միջազգային արդյունաբերական հոլդինգի երկու իտալական գործարաններում արտադրության ժամանակավոր դադարեցմանը, որի գլխամասը գտնվում է Գերմանիայում։

Cring ծածկագրիչով գրոհների շարքի ժամանակ չարագործները շահագործել են CVE-2018-13379 խոցելիությունը Fortigate VPN-սերվերներում՝ ձեռնարկության ցանցին նախնական հասանելիություն ստանալու համար։ Խոցելիությունը թույլ է տալիս չարագործին առանց իրավազորման միանալ սարքին եւ հեռավար հասանելիություն ստանալ սեանսի ֆայլին, որը պարունակում է օգտատիրոջ անունը եւ գաղտնաբառը բաց տեսքով։ Խնդիրը արտադրողի կողմից շտկվել է 2019 թվականին, սակայն մինչ օրս ոչ բոլոր սարքատերերն են դրանք թարմացրել։ 2020-ի աշնանը դարկվեբի ֆորումներում սկսեցին հայտնվել խոցելի սարքերի IP-հասցեների բազայի գնման առաջարկներ:

Հետաքննության ընթացքում պարզվել է, որ հարձակման օրը, հասանելիություն ստանալով կորպորատիվ ցանցի առաջին համակարգին, Cring-ի օպերատորներն օգտագործել են Mimikatz ուտիլիտը Windows-ի օգտատերերի այն հաշիվները գողանալու համար, որոնք նախկինում մուտք են գործել սկզբնապես կոտրված համակարգիչ։ Դրա օգնությամբ չարագործներին բախտ է վիճակվել անմիջապես գողանալ դոմենային ադմինիստրատորի հաշվառման տվյալները։ Ոչ տեւական հետախուզումից հետո չարագործներն ընտրել են մի քանի համակարգեր, որոնք կարեւոր են համարել արդյունաբերական ձեռնարկության գործունեության համար, եւ անմիջապես ներբեռնել եւ դրանց վրա գործարկել Cring ծածկագրիչը։

Համակարգը Cring ծածկագրիչից պաշտպանելու համար փորձագետները խորհուրդ են տալիս անընդհատ թարմացնել VPN-շլյուզի ծրագիրը եւ վերջնական կետերի եւ դրանց տվյալների բազաների պաշտպանության լուծումները մինչեւ վերջին տարբերակները; համոզվել, որ Active Directory-ի քաղաքականությունները թույլ են տալիս օգտատերերին մուտք գործել միայն այն համակարգեր, որոնց հասանելիությունը պայմանավորված է աշխատանքային անհրաժեշտությամբ; սահմանափակել VPN-ի հասանելիությունը օբյեկտների միջեւ եւ փակել բոլոր պորտերը, որոնց աշխատանքը չի պահանջվում տեխնոլոգիական գործընթացի իրականացման համար; դիտարկել Endpoint Detection and Response դասի պաշտպանական լուծումների ներդրման հնարավորությունն ինչպես կորպորատիվ, այնպես էլ արդյունաբերական ցանցում; հարմարեցնել Managed Detection and Response դասի ծառայությունները՝ կիբեռանվտանգության փորձագետների բարձրակարգ գիտելիքներին եւ մշակումներին օպերատիվ հասանելիություն ստանալու համար; օգտագործել հատուկ պաշտպանություն արդյունաբերական գործընթացների համար:

Հետաքննության մասին ավելի մանրամասն տեղեկատվությունը հասանելի է Kaspersky ICS CERT-ի կայքում: