AZ

Kaspersky: Kriptoqraf Cring VPN serverlərindəki boşluqlar vasitəsilə sənaye müəssisələrinə hücum edir

 

29b1450596d377356874fc55a59f3340.jpg
14.04.2021 12:48

2021-ci ilin əvvəlində kiber cinayətkarlar Cring kriptoqraf proqramınından istifadə edərək bir sıra hücumlar həyata keçirib. 

 

Bu barədə TED.az-a Kaspersky şirkətindən məlumat verilib.

 

Qeyd olunur ki, bu hücumlardan Swisscom CSIRT-dəki tədqiqatçılar bəhs edirdilər, lakin bu proqramın təşkilatlar şəbəkəsinə necə daxil olduğu tam olaraq məlum deyildi. Kaspersky ICS CERT mütəxəssisləri tərəfindən hücuma məruz qalan müəssisələrdən birində baş verən hadisənin istintaqı nəticəsində məlum oldu ki, Cring kriptoqrafının hücumlarında VPN serverlərindəki bir zəiflikdən istifadə edilib. Avropa ölkələrindəki sənaye müəssisələri də zərər çəkmişlər arasında idi və kriptoqraf proqramının hücumu nəticəsində baş ofisi Almaniyada yerləşən beynəlxalq bir sənaye holdinqinin İtaliyadakı iki fabrikində istehsalın müvəqqəti olaraq dayandırılmasına gətirib çıxarıb. 

 

Hadisənin Kaspersky ICS CERT mütəxəssisləri tərəfindən aparılan araşdırması göstərdi ki, Cring kriptoqrafı ilə həyata keçirilmiş bir sıra hücumlarda təcavüzkarlar müəssisə şəbəkəsinə ilk girişi əldə etmək üçün Fortigate VPN serverlərindəki CVE-2018-13379 zəifliyini istismar ediblər. Zəiflik identifikasiyası olmayan bir təcavüzkarın cihaza qoşulmasına və istifadəçi adı və şifrəsini açıq şəkildə ehtiva edən bir seans faylına uzaqdan daxil olmasına imkan verir. Məsələ 2019-cu ildə istehsalçı tərəfindən həll edilib, lakin hələ də bütün cihaz sahibləri öz cihazlarını yeniləməyib. 2020-ci ilin payızında qaranlıq vebdəki (dark web) forumlarda qorunmasız cihazların IP adreslər bazasının satışı üzrə təklifləri görünməyə başlayıb.

 

Araşdırma zamanı o da məlum oldu ki, hücumun əsas mərhələsinin başlamasına bir müddət qalmış, təcavüzkarlar VPN serverinə hücum zamanı oğurlanan identifikasiya məlumatlarının hələ də aktual olduğundan əmin olmaq üçün VPN şlüzü ilə test bağlantısı yaradıblar. Hücum günü korporativ şəbəkədəki ilk sistemə giriş əldə edərək, Cring operatorları Windows istifadəçi hesablarını oğurlamaq üçün əvvəllər də qorunmasız kompüterə daxil olmuş Mimikatz utilitindən istifadə ediblər. Onun köməyi ilə təcavüzkarlar domen administratorunun hesab məlumatlarını dərhal oğurlaya biliblər. 

 

Qısa bir kəşfiyyatdan sonra təcavüzkarlar sənaye müəssisəsinin fəaliyyəti üçün vacib hesab etdikləri bir neçə sistemi seçib və dərhal onların üzərinə Cring kriptoqrafı ilə hücuma keçiblər.

 

Mütəxəssislərin fikrincə, hücuma məruz qalan sistemlərdəki antivirus bazalarının və istifadə olunan təhlükəsizlik həlli üçün proqram modullarının vaxtında yenilənməməsi də həmin həllin təhdidi vaxtında aşkarlamasına və onu bloklanmasına mane olaraq, hücumun uğurlu olmasında əsas rollardan birini oynayıb. Hücum zamanı antivirus həllinin bəzi komponentləri deaktiv edilib və bu da sistemin qorunma keyfiyyətini aşağı salıb.

 

“Hücumun müxtəlif təfərrüatları göstərir ki, təcavüzkarlar təşkilatın infrastrukturunu diqqətlə öyrənib və daha sonra kəşfiyyat mərhələsində toplanan məlumatlar əsasında alətlər dəstini hazırlayıblar. Məsələn, təcavüzkarların skriptləri, müəssisədə istifadə olunan təhlükəsizlik həllinə qarşı zərərli proqramın fəaliyyətini maskalayıb və şifrələmə üçün seçilmiş sistemlərdə istifadə olunan məlumat bazası serverlərinin (Microsoft SQL Server) və ehtiyat nüsxələmə sistemlərinin (Veeam) fəaliyyətini dayandırıb. Təcavüzkarların fəaliyyətinin təhlili göstərir ki, hücuma məruz qalan təşkilatın şəbəkəsinin öyrənilməsi nəticəsində şifrələmə üçün, təcavuzkarların fikrincə,  müəssisənin fəaliyyətinə maksimum zərər verə biləcək serverlər seçilib", - deyə Kaspersky ICS CERT-in baş mütəxəssisi Vyaçeslav Kopeytsev bildirib.

 

Zeynəb ƏKBƏR

Texnologiya bölməsindən digər xəbərlər

Daha çox