Hakerlər Asiyanın ən böyük kriptobirjalarından birinə hücum edib

27.08.2018 0 PAYLAŞIM 325 OXUNMA

Kaspersky Lab şirkətinin tədqiqatçıları tanınmış Lazarus qruplaşmasının yeni zərərverici əməliyyatını aşkar edib.

Technote.az bildirir ki, hücum “AppleJeus” adını alıb və onun məqsədi Asiya kriptovalyuta birjası olub. Cinayətkarlar qurbanın şəbəkəsinə kriptovalyutanın alışı üçün nəzərdə tutulan yoluxdurulmuş proqram təminatının köməyi ilə daxil olub.

Maraqlıdır ki, hücum edənlər zərərli proqramın iki versiyasını istifadə edib: Windows və macOSüçün. Və bu Lazarus arsenalında ilk məlum olan zərərli macOS nümunəsidir.

Kaspersky Lab-ın analitikəri müəyyən ediblər ki, hücumu uğura gətirən insan amili oldu. Heç nədən şübhələnməyən qurban-şirkətin əməkdaşı kriptovalyutanın alışı üçün nəzərdə tutulmuş proqram təminatının saytından yabançı əlavəni yükləmişdir. Bu zaman isə sayt tamamilə qanuni görünürdü. Zərərli olan əlavənin kodu ümumilikdə şübhə doğurmur, yeniliyə cavabdeh olan bir komponent istisna olmaqla. Qanuni proqram təminatlarında bu modullar proqramın yeni versiyasının yüklənməsi üçün istifadə olunur.

Lakin “AppleJeus” halında bu komponent "kəşfiyyat" və məlumatların toplanması üçün istifadə olunurdu: proqram kompüter haqqında baza məlumatları yığıb, onları cinayətkarlara göndərirdi və onlar qurbanın maraqlı olması haqqında qərara gəldikləri halda, yenilik adı altında zərərli kodu yükləyirdi. Yoluxdurulmuş kompüterlərə daxil olan zərərli proqram tədqiqatçılara yaxşı məlum idi: bu Lazarus-un köhnə aləti olan “Fallchill” troyanı idi və qruplaşma bu yaxınlarda bu alətə qayıtmağı qərara aldı. Məhz bu fakt analitiklərə “AppleJeus” hücumunun arxasında kimin olduğunu ehtimal etməyə imkan verdi.

“Fallchill” kompüterə daxil olandan sonra hücum edənlərə demək olar ki, hədsiz imkanlar verir: dəyərli maliyyə məlumatlarını oğurlamaq və ya məqsəd və şəraitdən asılı olaraq əlavə alətlər tərtib etmək. Vəziyyət onunla da çətinləşir ki, yeni hücumlarda cinayətkarlar yalnız Windows platformasında fəaliyyət ilə kifayətlənmədilər və macOS əməliyyat sistemi üçün sözügedən troyanın eyni versiyasını yaratdılar.

Qeyd edək ki, macOS sistemi ənənəvi olaraq kiberhücumlara daha az meylli hesab edilirdi (Windows ilə müqayisədə). “AppleJeus”un daha bir xüsusiyyəti də tədqiqatçıların diqqətini cəlb etmişdir. İlk baxışdan əməliyyat təchizatçıya hücum kimi görünür (bu halda potensial qurbanlara xidmət və məhsulları təklif edən kənar təşkilatlar qəsdən yoluxdurulur), lakin çox güman ki, bu doğru deyil.

Zərərli proqramı qurbanların kompüterlərinə çatdırmaq məqsədi ilə seçilən və kriptovalyutanın alışı üçün nəzərdə tutulan proqram təminatının yaradıcısı öz proqramlarını imzalamaq üçün rəqəmsal sertifikata malikdir, onun qeydiyyat domen yazıları isə qanuni görünür. Lakin, Kaspersky Lab-ın ekspertləri ictimaiyyətə açıq olan məlumatları araşdırıb sertifikatda göstərilən ünvanda yerləşən heç bir qanuni təşkilatı identifikasiya edə bilməyib.

Kaspersky Lab şirkətinin Rusiya Araşdırma Mərkəzinin rəhbəri Yuri Namestnikov bildirib ki, onlar 2017-ci ilin əvvəlində Lazarus-un öz serverlərindən birinə “Monero” mayninqi üçün proqram təminatı quraşdırandan bəri qruplaşmanın kriptovalyuta bazarına artan marağını müşahidə edib:

“ O zamandan onlara kriptovalyuta birjaları və digər maliyyə təşkilatlarına olan hücumlarda rast gəlinib. Bu dəfə onlar macOS istifadəçilərini virusa yoluxduran xüsusi bir proqram təminatı yaradıblar ki, bununla da potensial qurbanların sayını artırıblar və hətta müdafiə radarlarından gizlənmək üçün saxta soft şirkəti və saxta proqram təminatı qurublar”.

Onun sözlərinə görə, bu onu sübut edir ki, onlar “AppleJeus” əməliyyatında potensial olaraq böyük bir fayda görürlər və yaxın zamanlarda belə hücumların sayı arta bilər: “Bu isə macOS istifadəçiləri üçün bir növ həyəcan siqnalı olmalıdır, xüsusən də əgər onlar öz Mac kompüterlərini kriptovalyuta ilə əməliyyatlar üçün istifadə edirlər”.