ჩინურენოვანი კიბერჯგუფი თავს ესხმის თავდაცვის საწარმოებსა და სამთავრობო უწყებებს აღმოსავლეთ ევროპაში, რუსეთსა და ავღანეთში
2022 წლის დასაწყისში, „კასპერსკის ლაბორატორიის“ ექსპერტებმა დააფიქსირეს მიზანმიმართული თავდასხმების ტალღა ავღანეთში, რუსეთში და აღმოსავლეთ ევროპის რიგ ქვეყნებში თავდაცვის საწარმოებსა და სამთავრობო ინსტიტუტებზე. საერთო ჯამში, კვლევის დროს, ექსპერტებმა გამოავლინეს თავდასხმები ათზე მეტ ორგანიზაციაზე. სავარაუდოდ, თავდამსხმელების მიზანი კიბერჯაშუშობა იყო. ექსპერტები ვარაუდობენ, რომ გამოვლენილი თავდასხმების სერია შესაძლოა დაკავშირებული იყოს ჩინურენოვანი კიბერ ჯგუფის TA 428-ის საქმიანობასთან. მან გამოიყენა ადრე ცნობილი უკანა კარების ახალი მოდიფიკაციები.
„კასპერსკის ლაბორატორია“ იუწყება, რომ რიგ შემთხვევებში, თავდამსხმელებმა მოახერხეს IT ინფრასტრუქტურის სრულად დაკავება. ამისათვის ისინი იყენებდნენ კარგად მომზადებულ ფიშინგ წერილებს. წერილები შეიცავდნენ შიდა ინფორმაციას, რომელიც არ იყო ხელმისაწვდომი საჯარო წყაროებში თავდამსხმელების მიერ მისი გამოყენების დროს, მათ შორის, კონფიდენციალურ ინფორმაციაზე მომუშავე თანამშრომლების სრულ სახელებს და პროექტების შიდა კოდურ სახელებს. ფიშინგ წერილებს თან ახლდა Microsoft Word-ის დოკუმენტები მავნე კოდით, რომელიც იყენებს CVE-2017-11882 დაუცველობას. ის საშუალებას აძლევს მავნე პროგრამას აიღოს კონტროლი ინფიცირებულ სისტემაზე მომხმარებლის მხრიდან რაიმე დამატებითი ქმედებების გარეშე; მომხმარებელს არც კი მოეთხოვება მაკრო შესრულების ჩართვა.
როგორც თავდასხმის განვითარების მთავარ ინსტრუმენტს, თავდამსხმელებმა გამოიყენეს Ladon უტილიტა ქსელის სკანირების, დაუცველობის პოვნისა და ექსპლუატაციის და პაროლების მოპარვის შესაძლებლობით. დასკვნით ეტაპზე ისინი იპყრობდნენ დომენის კონტროლერს, რაც მათ საშუალებას აძლევდა მიეღოთ სრული კონტროლი თავდამსხმელებისათვის საინტერესო ორგანიზაციის სამუშაო სადგურებსა და სერვერებზე. საჭირო უფლებების მოპოვების შემდეგ, თავდამსხმელებმა დაიწყეს სხვადასხვა ქვეყანაში განლაგებულ სერვერებზე კონფიდენციალური მონაცემების შემცველი ფაილების ძებნა და ატვირთვა. ეს იგივე სერვერები გამოიყენებოდა მავნე პროგრამების სამართავადაც.
„მიზნობრივი ფიშინგი სამრეწველო საწარმოებისა და სამთავრობო უწყებებისთვის რჩება ერთ-ერთ ყველაზე მწვავე საფრთხედ. როგორც ჩანს, თავდასხმების სერია, რომელიც ჩვენ აღმოვაჩინეთ, არ არის პირველი ამ მავნებლურ კამპანიაში. ვინაიდან თავდამსხმელები წარმატებებს აღწევენ, ჩვენ ველით, რომ მსგავსი შეტევები მომავალშიც გაგრძელდება. აქედან გამომდინარე საწარმოები და სამთავრობო ორგანიზაციები უნდა იყვნენ მზადყოფნაში და განახორციელონ შესაბამისი სამუშაოები, რათა მოემზადონ რთული მიზანმიმართული საფრთხის მოსაგერიებლად,” – ამბობს Kaspersky ICS CERT-ის უფროსი ექსპერტი ვიაჩესლავ კოპეიცევი.
კვლევის შესახებ სტატიის სრული ვერსია იხილეთ აქ.