“Kaspersky Lab” şirkətinin tədqiqatçıları tanınmış “Lazarus” qruplaşmasının yeni zərərverici əməliyyatını aşkar edib. Hücum “AppleJeus” adını alıb və onun məqsədi Asiya kriptovalyuta birjası olub. Cinayətkarlar qurbanın şəbəkəsinə kriptovalyutanın alışı üçün nəzərdə tutulan yoluxdurulmuş proqram təminatının köməyi ilə daxil olub. Maraqlıdır ki, hücum edənlər zərərli proqramın iki versiyasını istifadə edib: “Windows” və “macOS” üçün. Və bu “Lazarus” arsenalında ilk məlum olan zərərli “macOS” nümunəsidir.
“Kaspersky Lab”ın analitikəri müəyyən ediblər ki, hücumu uğura gətirən insan amili oldu. Heç nədən şübhələnməyən qurban-şirkətin əməkdaşı kriptovalyutanın alışı üçün nəzərdə tutulmuş proqram təminatının saytından yabançı əlavəni yükləmişdir. Bu zaman isə sayt tamamilə qanuni görünürdü.
Zərərli olan əlavənin kodu ümumilikdə şübhə doğurmur, yeniliyə cavabdeh olan bir komponent istisna olmaqla. Qanuni proqram təminatlarında bu modullar proqramın yeni versiyasının yüklənməsi üçün istifadə olunur. Lakin “AppleJeus” halında bu komponent «kəşfiyyat» və məlumatların toplanması üçün istifadə olunurdu: proqram kompüter haqqında baza məlumatları yığıb, onları cinayətkarlara göndərirdi və onlar qurbanın maraqlı olması haqqında qərara gəldikləri halda, yenilik adı altında zərərli kodu yükləyirdi. Yoluxdurulmuş kompüterlərə daxil olan zərərli proqram tədqiqatçılara yaxşı məlum idi: bu “Lazarus”un köhnə aləti olan “Fallchill” troyanı idi və qruplaşma bu yaxınlarda bu alətə qayıtmağı qərara aldı. Məhz bu fakt analitiklərə “AppleJeus” hücumunun arxasında kimin olduğunu ehtimal etməyə imkan verdi.
“Fallchill” kompüterə daxil olandan sonra hücum edənlərə demək olar ki, hədsiz imkanlar verir: dəyərli maliyyə məlumatlarını oğurlamaq və ya məqsəd və şəraitdən asılı olaraq əlavə alətlər tərtib etmək. Vəziyyət onunla da çətinləşir ki, yeni hücumlarda cinayətkarlar yalnız “Windows” platformasında fəaliyyət ilə kifayətlənmədilər və “macOS” əməliyyat sistemi üçün sözügedən troyanın eyni versiyasını yaratdılar. Qeyd edək ki, “macOS” sistemi ənənəvi olaraq kiberhücumlara daha az meylli hesab edilirdi (“Windows” ilə müqayisədə).
“AppleJeus”un daha bir xüsusiyyəti də tədqiqatçıların diqqətini cəlb etmişdir. İlk baxışdan əməliyyat təchizatçıya hücum kimi görünür (bu halda potensial qurbanlara xidmət və məhsulları təklif edən kənar təşkilatlar qəsdən yoluxdurulur), lakin çox güman ki, bu doğru deyil.
Zərərli proqramı qurbanların kompüterlərinə çatdırmaq məqsədi ilə seçilən və kriptovalyutanın alışı üçün nəzərdə tutulan proqram təminatının yaradıcısı öz proqramlarını imzalamaq üçün rəqəmsal sertifikata malikdir, onun qeydiyyat domen yazıları isə qanuni görünür. Lakin, «Kaspersky Lab»ın ekspertləri ictimaiyyətə açıq olan məlumatları araşdırıb sertifikatda göstərilən ünvanda yerləşən heç bir qanuni təşkilatı identifikasiya edə bilməyib.
“Kaspersky Lab” şirkətinin Rusiya Araşdırma Mərkəzinin rəhbəri Yuri Namestnikov bildirib: “Biz 2017-ci ilin əvvəlində “Lazarus” öz serverlərindən birinə “Monero” mayninqi üçün proqram təminatı quraşdırandan bəri qruplaşmanın kriptovalyuta bazarına artan marağını müşahidə etmişik. O zamandan onlara kriptovalyuta birjaları və digər maliyyə təşkilatlarına olan hücumlarda rast gəlinib. Bu dəfə onlar “macOS” istifadəçilərini virusa yoluxduran xüsusi bir proqram təminatı yaradıblar ki, bununla da potensial qurbanların sayını artırıblar və hətta müdafiə radarlarından gizlənmək üçün saxta soft şirkəti və saxta proqram təminatı qurublar. Bu onu sübut edir ki, onlar “AppleJeus” əməliyyatında potensial olaraq böyük bir fayda görürlər və yaxın zamanlarda belə hücumların sayı arta bilər. Bu isə “macOS” istifadəçiləri üçün bir növ həyəcan siqnalı olmalıdır, xüsusən də əgər onlar öz “Mac” kompüterlərini kriptovalyuta ilə əməliyyatlar üçün istifadə edirlər.
“Lazarus”un yeni əməliyyatının təfərrüatları haqqında «Kaspersky Lab» şirkətinin hesabatında ətraflı olaraq oxumaq olar: https://securelist.com/operation-applejeus/87553/.
Ana Səhifə Xarici yeniliklər “Lazarus” qruplaşması zərərverici “Mac” köməyi ilə kriptovalyuta birjasına hücum edib