ჭია-მაინერი StripedFly რთული კოდითა და შპიონაჟისათვის საჭირო შესაძლებლობებით მილიონებით მომხმარებელს დაესხა თავს: „კასპერსკის ლაბორატორია“
თბილისი, 7 ნოემბერი. „კასპერსკის ლაბორატორიის“ ექსპერტებმა აღმოაჩინეს ადრე უცნობი და უკიდურესად დახვეწილი მავნე თავდასხმა სახელწოდებით StripedFly, რომლის მსხვერპლიც 2017 წლიდან მილიონზე მეტი მომხმარებელი გახდა მთელ მსოფლიოში. ის კვლავ არსებობს, თუმცა არც ისე აქტიურად. დიდი ხნის განმავლობაში ვარაუდობდნენ, რომ მავნე პროგრამა ჩვეულებრივი კრიპტომაინერი იყო, თუმცა მოგვიანებით გაირკვა, რომ ეს არის რთული პროგრამა მრავალფუნქციური, ეფექტური ჩარჩოთი.
2022 წელს „კასპერსკის ლაბორატორიის“ გლობალური კვლევისა და ანალიზის გუნდის (GReAT) ექსპერტებმა აღმოაჩინეს ორი ახალი ინციდენტი, სადაც ეს მავნე პროგრამა იყო გამოყენებული. ისინი ასოცირდებოდნენ wininit.exe სისტემის პროცესთან Windows-ში. ამ პროცესმა გამოავლინა კოდის თანმიმდევრობა, რომელიც ადრე გამოიყენებოდა Equation malware-ში. მიუხედავად იმისა, რომ აღმოჩენილი ნიმუშების აქტივობა ხდებოდა მინიმუმ 2017 წლიდან, წინასწარი ანალიზის ეტაპზე იგი სრულყოფილად ვერ იქნა შესწავლილი, რადგან თავდაპირველად ის შეცდომით მიიღეს ჩვეულებრივ კრიპტომაინერად. ვრცელი კვლევის შემდეგ, აღმოჩნდა, რომ კრიპტომაინერი მხოლოდ უფრო რთული მრავალპლატფორმული სტრუქტურის ნაწილია მრავალი დანამატით.
აღმოჩენილი მავნე პროგრამის მრავალი მოდული საშუალებას აძლევს თავდამსხმელებს გამოიყენონ იგი როგორც APT შეტევების ნაწილი, ასევე როგორც კრიპტომაინერი ან თუნდაც გამოსასყიდი პროგრამა. შესაბამისად, მნიშვნელოვნად ფართოვდება თავდამსხმელების შესაძლო მოტივების სია – ფინანსური მოგებიდან ჯაშუშობამდე.
თავდამსხმელებს აქვთ მრავალი შესაძლებლობა ფარულად დაზვერონ მსხვერპლი. მავნე პროგრამა აგროვებს საანგარიშო მონაცემებს ყოველ ორ საათში: ეს შეიძლება იყოს შესვლა და პაროლები ვებსაიტზე შესასვლელად ან Wi-Fi-თან დასაკავშირებლად, ან პიროვნების პერსონალური მონაცემები, მათ შორის სახელი, მისამართი, ტელეფონის ნომერი, სამუშაო ადგილი და თანამდებობა. გარდა ამისა, მავნე პროგრამას შეუძლია ჩუმად გადაიღოს ეკრანის ანაბეჭდები მსხვერპლის მოწყობილობიდან, მიკროფონიდან ხმოვანი მონაცემებიც კი ჩაწეროს, რითაც მას შეიძლია დაამყაროს სრული კონტროლი მომხმარებელზე.
პირველადი კომპიუტერული ინფექციის წყარო დიდი ხნის განმავლობაში უცნობი რჩებოდა. „კასპერსკის ლაბორატორიის“ შემდგომმა კვლევამ აჩვენა, რომ თავდამსხმელები ამ მიზნით იყენებენ EternalBlue „SMBv1“ ექსპლოიტის საკუთარ რეალიზაციას. EternalBlue დაუცველობა აღმოაჩინეს ჯერ კიდევ 2017 წელს, რის შემდეგაც მაიკროსოფტმა გამოუშვა შემოსწორება (MS17-010). თუმცა, საფრთხე კვლავ აქტუალურია, რადგან ყველა მომხმარებელი არ ახდენს სისტემის განახლებას.
კამპანიის ტექნიკური ანალიზის დროს „კასპერსკის ლაბორატორიის“ ექსპერტებმა აღმოაჩინეს მისი მსგავსება Equation მავნე პროგრამასთან. ამაზე მიუთითებდა ტექნიკური ინდიკატორები, მათ შორის ხელმოწერები, პროგრამირების სტილი და ტექნიკა, რომელიც გამოიყენება StraitBizzare (SBZ) მავნე პროგრამაში. ჩამოტვირთვის მრიცხველის მონაცემებზე დაყრდნობით, StripedFly-მა მიზანმიმართულად გამოიყენა მილიონზე მეტი მომხმარებელი მთელს მსოფლიოში.
„ამ ჩარჩოს შექმნაზე გაწეული ძალისხმევის მოცულობა მართლაც შთამბეჭდავია. კიბერუსაფრთხოების პროფესიონალებისთვის მთავარი გამოწვევა ის არის, რომ თავდამსხმელები მუდმივად ეგუებიან ცვალებად პირობებს. ამიტომ, ჩვენთვის, მკვლევრებისთვის, მნიშვნელოვანია გავაერთიანოთ ძალები რთული კიბერ საფრთხეების იდენტიფიცირებისთვის, ხოლო კლიენტებმა არ დაივიწყონ კიბერშეტევებისგან ყოვლისმომცველი დაცვა“, – აღნიშნავს „კასპერსკის ლაბორატორიის“ კიბერუსაფრთხოების ექსპერტი სერგეი ლოჟკინი.
დამატებითი ინფორმაცია StripedFly-ის შესახებ შეგიძლიათ იხილოთ „კასპერსკის ლაბორატორიის“ ანგარიშში: https://securelist.com/stripedfly-perennially-flying-under-the-radar/110903/.