Kaspersky ICS CERT mütəxəssisləri 2021-ci ilin 20 yanvar – 10 noyabr dövrü ərzində 195 ölkədə 35 mindən çox kompüterə hücum edən zərərli proqram aşkarlayıblar. Proqrama PseudoManuscrypt adı verilib, çünki onun yükləyicisi Lazarus-un arsenalına daxil olan Manuscrypt zərərli proqramının yükləyicisinə bənzəyir. Hücuma məruz qalanlar arasında xeyli sayda sənaye və dövlət təşkilatları, o cümlədən, hərbi-sənaye kompleksi müəssisələri və tədqiqat laboratoriyaları var. PseudoManuscrypt tərəfindən hücum edilən kompüterlərin ən azı 7,2%-i müxtəlif sənaye təşkilatlarında sənaye avtomatlaşdırma sistemlərinin (ICS) bir hissəsidir.
Sənaye müəssisələri kibercinayətkarlar üçün cəlbedici hədəfdir, çünki onlara edilən hücumlar həm birbaşa maliyyə faydaları vəd edir, həm də qiymətli məlumatların ələ keçirilməsi üçün hesabların aparılmasına imkan verir. 2021-ci ildə sənaye müəssisələrinə təkcə fidyəçilər və digər kibercinayətkarlar deyil, həm də Lazarus və APT41 kimi APT-lər tərəfindən böyük maraq olduğu qeydə alınıb.
PseudoManuscrypt yükləyicisi sistemə daxil olarkən pirat proqramlar adı altında zərərli quraşdırıcılar yayan Malware-as-a-Service (MaaS) platformasından istifadə edir. Bəzi hallarda bu, Glupteba adlı botnet (pirat proqram adı altında da yayılan əsas quraşdırıcı) vasitəsilə baş verib. PseudoManuscrypt-in əsas zərərli modulu bir çox casus funksiyalarına malikdir, o cümlədən VPN bağlantısı məlumatlarını oğurlaya, düymə toxunuşlarını qeyd edə, ekrandan şəkil və video çəkə, mikrofondan səs yaza, mübadilə buferindən və əməliyyat sisteminin hadisələr jurnalından məlumatlarını oğurlaya bilir (hansı ki, hətta RDP əlaqə məlumatlarını oğurlamağı da mümkün edir).
Hücuma məruz qalan kompüterlər arasında fiziki və 3D modelləmə və rəqəmsal əkizlərin inkişafı və istifadəsi sistemləri də daxil olmaqla, mühəndisliyə aid olanlar çoxdur. Bu, onu deməyə əsas verir ki, kampaniyanın mümkün hədəflərindən biri sənaye casusluğudur.
Burada iki faktın maraqlı birləşməsi ortaya çıxır. Birincisi, PseudoManuscrypt-in yükləyicisi Lazarus tərəfindən 2020-ci ildə müxtəlif ölkələrdə müdafiə sənayesi müəssisələrinə edilən hücumlarda istifadə edilən Manuscrypt zərərli proqramının yükləyicisi ilə oxşarlıqlara malikdir, ikincisi, oğurlanmış məlumatları təcavüzkarların serverinə ötürmək üçün PseudoManuscrypt nadir KCP protokolundan istifadə edir, hansı ki, əvvəllər yalnız APT41 tərəfindən istifadə edilən zərərli proqramın tərkibində qeydə alınmışdı.
Yayılma prosesində aşkar fokus yoxluğu və nəticə olaraq hədəfli kiber kampaniyalar üçün xarakterik olmayan çoxlu sayda qurbanların olması bu kampaniyanı Lazarus və ya hər hansı digər APT ilə birmənalı şəkildə əlaqələndirməyə imkan vermir.
“Bu, çox qeyri-adi kampaniyadır və biz hələ də əlimizdəki məlumatları təhlil edirik. Ancaq bir fakt aydındır: bu, peşəkarların diqqət etməli olduğu təhlükədir. O, on minlərlə kompüterə təsir edib və minlərlə sənaye avtomatlaşdırma sistemləri (ICS) kompüterinə yayıla bilib və dünyanın bir çox sənaye təşkilatlarının təhlükəsizliyinə təhdid yaradıb. Biz tədqiqatımızı davam etdirəcəyik və kiber təhlükəsizlik ictimaiyyətini nəticələr barədə məlumatlandıracağıq”, – deyə Kaspersky-nin sənaye müəssisələrinin mühafizəsi üzrə mütəxəssisi Vyaçeslav Kopeytsev qeyd edib.
PseudoManuscrypt tərəfindən hücum riskini azaltmaq üçün Kaspersky ICS CERT müəssisələrə tövsiyə edir:
- son cihazların qorunması üçün bütün serverlərdə və iş stansiyalarında həllər quraşdırın;
- son cihazın qorunması üçün həllin bütün komponentlərinin işə salındığından və təşkilatın qorumanı söndürməyə cəhd edərkən administrator şifrəsi tələb edən siyasət tətbiq etdiyindən əmin olun.
- Active Directory siyasətlərinin istifadəçilərin şəbəkədəki kompüterlərə daxil olması üçün məhdudiyyətlər təyin etdiyindən əmin olun. İstifadəçilərə yalnız girişi iş ehtiyacları ilə şərtləndirilən sistemlərə daxil olmağa icazə verilməlidir;
- texnoloji şəbəkənin obyektləri arasında şəbəkə əlaqələrini, o cümlədən VPN bağlantısını məhdudlaşdırın, texnoloji prosesin yerinə yetirilməsi üçün tələb olunmayan bütün portlara qoşulmağı qadağan edin;
- VPN bağlantısı yaratmaq üçün ikinci autentifikasiya faktoru olaraq ağıllı kartlardan (tokenlər) və ya birdəfəlik şifrələrdən istifadə edin. Müvafiq hallarda VPN bağlantısının başladılması üçün istifadə oluna biləcək IP ünvanlarının siyahısını məhdudlaşdırmaqdan ötrü Access Control List (ACL) texnologiyasından istifadə edin;
- müəssisə işçilərinə internet, elektron poçt və digər məlumat ötürmə mənbələri və kanalları ilə təhlükəsiz işləmək mövzusunda təlimlər keçin, xüsusən etibarsız mənbələrdən alınan faylların yüklənməsi və işə salınmasının nəticələrini izah edin;
- lokal administratorların və domen administratorlarının hüquqlarına malik hesablardan yalnız istehsalat ehtiyacı olduqda istifadə edin;
- yüksək səviyyəli ekspertlərin bilik və təcrübəsinə və kibertəhlükəsizlik həlləri istehsalçılarının infrastrukturunda istifadə olunan anomaliyaların təhlili və təhdidlərin aşkarlanması texnologiyalarına operativ çıxış əldə etmək üçün Managed Detection and Response sinifindən olan xidmətlərə müraciət edin;
- texnoloji proses üçün xüsusi qorumadan istifadə edin. Kaspersky Industrial CyberSecurity həlli sənayeyə aid son qovşaqları qoruyur və texnologiya şəbəkəsinin şəbəkə monitorinqinə zərərli fəaliyyəti aşkar etmək və qarşısınıalmaq imkanı tanıyır.
PseudoManuscrypt kampaniyası haqqında daha ətraflı buradan öyrənə bilərsiniz: https://ics-cert.kaspersky.ru/reports/2021/12/16/pseudomanuscrypt-a-mass-scale-spyware-attack-campaign/.
Kaspersky ICS CERT haqqında
Kaspersky Industrial Systems Emergency Response Team – Kaspersky-nin sənaye müəssisələrinin və mühüm infrastruktur obyektlərinin qorunması problemlərinin həllində avtomatlaşdırma sistemləri istehsalçılarının, sənaye obyektlərinin sahibləri və operatorlarının, informasiya təhlükəsizliyi tədqiqatçılarının fəaliyyətlərinin əlaqələndirilməsinə yönəlmiş qlobal layihəsidir. Kaspersky ICS CERT mütəxəssisləri kiber təhdidlər və zəifliklər haqqında analitik məlumatlar təqdim edir, beynəlxalq və yerli sənaye tövsiyələrinin, metodikalarının, yanaşmalarının və təhlükəsizlik standartlarının hazırlanmasına kömək edir və geniş mütəxəssislər icması ilə müvafiq təcrübəsini bölüşür. Layihə haqqında ətraflı buradan öyrənə bilərsiniz https://ics-cert.kaspersky.ru/