11:18 | 04.03.21 | Նորություններ | 2503
«Կասպերսկի» ընկերության փորձագետները 2020թ. կեսերին հայտնաբերել են բարդ նպատակային գրոհներում մասնագիտացած Lazarus խմբի նոր վնասաբեր արշավը։
Չարագործները ընդլայնել են իրենց պորտֆելը պաշտպանական արդյունաբերության վրա գրոհներով, որոնցում նրանք օգտագործել են Manuscrypt կլաստերին դասվող ThreatNeedle վնասաբեր ծրագիրը: Գրոհների զոհերի թվում եղել են ռուսական ձեռնարկություններ։ Գրանցվել են նաեւ չարագործների ենթակառուցվածքների հետ Եվրոպայից, Հյուսիսային Ամերիկայից, Մերձավոր Արեւելքից եւ Ասիայից կապի դեպքեր, ինչը կարող է խոսել նաեւ այդ տարածաշրջաններում հնարավոր զոհերի մասին։
Երբ տուժած կազմակերպություններից մեկը դիմել է օգնության համար, ընկերության փորձագետները ցանցում հայտնաբերել են ThreatNeedle բեկդորը, որը նախկինում նկատվել է կրիպտոարժութային ընկերությունների վրա Lazarus-ի գրոհներում։
Նախնական վարակը տեղի է ունեցել թիրախային ֆիշինգի միջոցով. չարագործները շեշտը դրել են արդիական՝ կորոնավիրուսային վարակի կանխարգելման եւ ախտորոշման թեմայի վրա։
Այս արշավի ամենահետաքրքիր մանրամասներից մեկը կապված է այն բանի հետ, թե ինչպես են չարագործները հաղթահարել ցանցի սեգմենտավորումը։ Գրոհի ենթարկված ձեռնարկության ցանցը բաժանված է եղել երկու սեգմենտների՝ կորպորատիվ (ցանց, որի համակարգիչներն ունեն հասանելիություն համացանցին) եւ մեկուսացված (ցանց, որի համակարգիչները պարունակում են գաղտնի տվյալներ եւ չունեն հասանելիություն համացանցին)։ Չարագործներին հաջողվել է ստանալ երթուղիչի հաշվառման տվյալները, որն ադմինիստրատորներն օգտագործել են մեկուսացված եւ կորպորատիվ ցանցերին միացումների համար։ Փոխելով դրա կարգավորումները եւ այդտեղ լրացուցիչ ծրագրային ապահովում տեղադրելով, նրանք կարողացել են այն վերածել ձեռնարկության ցանցում վնասաբեր ԾԱ-ի հոսթինգի: Դրանից հետո երթուղիչը օգտագործվել է մեկուսացված սեգմենտ մուտք գործելու, դրանից տվյալներ դուրս բերելու եւ դրանք կառավարող սերվեր ուղարկելու համար։
«Lazarus-ը ոչ միայն գերակտիվ, այլեւ շատ առաջ գնացած խումբ է։ Չարագործները ոչ միայն հաղթահարել են ցանցի սեգմենտավորումը, այլեւ մանրակրկիտ հետազոտություն են անցկացրել, որպեսզի ստեղծեն անհատականացված եւ արդյունավետ ֆիշինգային տարածում եւ կարգավորվող գործիքներ՝ գողացված տեղեկատվությունը հեռավար սերվեր փոխանցելու համար։ Ձեռնարկություններին անհրաժեշտ է անվտանգության լրացուցիչ միջոցներ ձեռնարկել կիբեռլրտեսության նման արշավներից պաշտպանվելու համար»,-ընդգծել է Kaspersky ICS CERT-ի ավագ փորձագետ Վյաչեսլավ Կոպեյցեւը։
ThreatNeedle Backdoor-ի կիրառմամբ գրոհի մասին ավելին կարելի է իմանալ այստեղ: