კიბერჯგუფი Lazarus-ი თავს ესხმის თავდაცვის საწარმოებს მთელს მსოფლიოში

05.03.202109.03.2021 admin 0 Comments

2020 წლის შუა რიცხვებში „კასპერსკის ლაბორატორიის“ ექსპერტებმა აღმოაჩინეს ჯგუფ Lazarus-ის ახალი მავნე პროგრამა, რომელიც სპეციალიზირდებართულ მიზნობრივ შეტევებში. თავდამსხმელებმა გააფართოვეს თავიანთი პორტფოლიოთავდაცვით ინდუსტრიებზე თავდასხმებით, სადაც მათ გამოიყენეს მავნე პროგრამა ThreatNeedle რომელიც მიეკუთვნებოდა Manuscrypt-ის კლასტერს. თავდასხმულთა მსხვერპლთა შორის იყვნენ საწარმოები რუსეთიდან. ასევე დარეგისტრირდა კიბერდამნაშავეთა ინფრასტრუქტურებისადმი მიმართვები ევროპიდან, ჩრდილოეთ ამერიკიდან, ახლო აღმოსავლეთიდან და აზიიდან, რაც ამ რეგიონებში შესაძლო მსხვერპლის არსებობაზე მიუთითებს.

ერთ-ერთმა ასეთმა დაზარალებულმა ორგანიზაციამ დახმარება სთხოვა „კასპერსკის ლაბორატორიას“ კომპანიის ექსპერტებმა ქსელში აღმოაჩინეს ThreatNeedle ბექდორი, რომელიც ადრე ნახესკრიპტოვალუტის კომპანიებზე Lazarus-ისთავდასხმებისას. როგორც გაარკვიეს, თავდაპირველი ინფიცირებაა მომხდარა მიზნობრივი ფიშინგის საშუალებით: თავდამსხმელები ემყარებოდნენ აქტუალურ თემას, როგორიცაა კორონავირუსული ინფექციისპრევენცია და დიაგნოზი. ამ კამპანიის ერთ-ერთი ყველაზე საინტერესო დეტალი ეხება იმას, თუ როგორ გადალახეს თავდამსხმელებმა ქსელის სეგმენტაცია. შეტევას დაქვემდებარებული საწარმოს ქსელი დაყოფილი იყო ორ სეგმენტად: კორპორატიული (ქსელი, რომლის კომპიუტერებს წვდომა აქვთ ინტერნეტთან) და იზოლირებული (ქსელი, რომლის კომპიუტერები შეიცავს კონფიდენციალურ მონაცემებს და არ აქვთ ინტერნეტი). თავდამსხმელებმა მოახერხეს როუტერისგან სერთიფიკატების მოპოვება, რომელსაც ადმინისტრატორები იყენებენ იზოლირებულ და კორპორაციულ ქსელებთან დასაკავშირებლად. მისი პარამეტრების შეცვლით და მასზე დამატებითი პროგრამული უზრუნველყოფის დაყენებით, მათ შეძლეს ქცეულიყვნენ საწარმოს ქსელში მასპინძელ მავნე პროგრამად. ამის შემდეგ, როუტერი გამოიყენებოდა იზოლირებულ სეგმენტში შესაღწევად, მისგან მონაცემების გამოსატანად და C&C სერვერზე გასაგზავნად.

„Lazarus — ეს არა მხოლოდ ზეაქტიური ჯგუფია, არამედ ძალიან განვითარებულიც.თავდამსხმელებმა არა მხოლოდ გადალახეს ქსელის სეგმენტაცია, არამედ ჩაატარეს დაწვრილებითიგამოკვლევა, რათა მოპარული ინფორმაციის დისტანციურ სერვერზე გადასაცემადშეექმნათ პერსონალური და ეფექტური ფიშინგური გადაცემა. საწარმოებმა უნდა მიიღონ დამატებითი უსაფრთხოების ზომები ამ ტიპის კიბერჯაშუშური კამპანიისგან თავის დასაცავად“, – დასძენს Kaspersky ICS CERT- ის უფროსი ექსპერტი ვიაჩესლავ კოპეიცევი.

ეს საინფორმაციო სტატია სარეკლამო ხასიათის არ არის და შეიცავს მხოლოდ საქართველოს კიბერუსაფრთხოებასთან დაკავშირებულ სტატისტიკურ მონაცემებს