“MuddyWater” haker qruplaşmasının fəaliyyətini izləyən “Kaspersky Lab” şirkətinin ekspertləri məqsədi İordaniya, Türkiyə, Azərbaycan, Pakistan və Əfqanıstanın hökumət təşkilatları və digər qurumları olan yeni hücum seriyalarını qeydə alıblar. Sözügedən qruplaşma özləri barədə ilk dəfə 2017-ci ildə İraq və Səudiyyə Ərərbistanında xəbər verib. Zərərverici proqram təminatı fərdi fişinq vasitəsilə yayılır: kibercinayətkarlar istifadəçilərə “Office” sənədi göndərir və quraşdırılmış makrosları aktivləşdirməyi təklif edirlər. Hücumlar davam edir.
“MuddyWater” – 2017-ci ildə zərərverici kampaniyası ilə peyda olan və məqsədləri İraq və Səudiyyə Ərərbistanının hökumət saytları olan yeni haker qruplaşmasıdır. Bu il “Kaspersky Lab”ın ekspertləri bir çox ölkəyə yönələn fişinq məktublarının arasıkəsilməz axınını müəyyən ediblər. Yeni zərərverici kampaniyanın pik nöqtəsi 2018-ci ilin may və iyun aylarına təsadüf edib, bununla belə, hücumlar hazırda da davam edir.
“Kaspersky Lab”ın ekspertlərinin məlumatına əsasən, fişinq məktublarının məzmunu güman etməyə imkan verir ki, cinayətkarların əsas hədəfi dövlət və hərbi strukturlar, həmçinin, telekommunikasiya şirkətləri və təhsil müəssisələridir. Elektron məktubların əlavəsində “MS Office 97-2003” faylı mövcuddur və istifadəçi makrosları qoşan kimi infeksiya aktivləşir.
“Kaspersky Lab”ın mütəxəssisləri yeni zərərverici kampaniyanın ilk mərhələlərinin təhlilini aparıblar və hücumlara məruz qalmış regionlarda şirkətlərə kömək etmək məqsədilə tədqiqatın nəticələrini dərc ediblər. Hazırda cinayətkarların arsenalı öyrənilir: “PowerShell”in skriptləri və alətləri, VBS, VBA, “Python” və C#, troyanlar (RATs – “Remote Access Trojans”).
İnfeksiya aktivləşən kimi zərərverici proqram təminatı quraşdırılmış siyahıdan təsadüfi URL-i seçərək özünün komanda serveri ilə əlaqə yaradır. Kibertəhlükəsizlik həllərinin olub-olmamasını skan etdikdən sonra zərərverici proqram istifadəçinin kompüterinə bir sıra ssenari yükləyir, daha sonra isə “backdoor”un əsas funksional imkanlarını işə salır.Qanuni MS-fayllardan istifadə zərərverici proqram təminatına qara siyahılara düşməməyə imkan yaradır. Bundan başqa, “PowerShell” kodu gələcək hücumlar istifadəçi ilə heç bir qarşılıqlı əlaqə tələb etməsin deyə, “Macro Warnings” və “Protected View” funksiyalarını söndürür. Zərərverici proqram təminatının infrastrukturuna bir sıra etibardan düşmüş host daxildir.
Hücumların hədəfləri Türkiyə, İordaniya, Azərbaycan, İraq, Səudiyyə Ərəbistanı, Mali, Avstriya, Rusiya, İran və Bəhreyndə qeydə alınıb.
“MuddyWater”in zərərverici kampaniyasının arxasında kimin durduğu hələ dəqqiq məlum deyil, lakin hücum edənlərin geosiyasi motivlərə malik olması açıq aydındır.
Bu yaxınlardakı hücumlar zamanı istifadə olunan kod tədqiqatçıların fikrini yayındırmaq və onları aldatmaq məqsədini güdən bir sıra elementə malikdir. Kodda Çin dilinin və zərərverici proqram təminatında “Leo”, “PooPak”, “Vendetta” və “Turk” kimi adların istifadəsi nəzərdə tutulur.
“Son bir il ərzində ”MuddyWater” qruplaşmasının həyata keçirdiyi bir çox hücumun, həmçinin, üsullarının daim inkişaf etdirilməsini müşahidə etmişik. Növbəti zərərverici kampaniyanın arxasında kibertəhlküəsizlik məhsullarının hücum prosesinə müdaxiləsini minimuma endirmək üçün instrumentarilərini təkmilləşdirən fəal yaradıcılar dayanır. Bu, ondan xəbər verir ki, qısamüddətli perspektivdə analoji hücumlar təkrarlanacaq. Məhz buna görə biz ilk nəticələrimizlə paylaşmağı qərara aldıq – şirkətlərin müdafiə üçün lazımi tədbirlərin görülməsi üçün onların təhdidlər barədə məlumatlandırılmasını artırmaq. Biz cinayətkarların arsenalını təhlil edirik, gələcəkdə onun inkişafını, həmçinin, hücum edənlərin strategiyalarını və səhflərini diqqətlə izləyəcəyik”, — deyə “Kaspersky Lab”ın Təhdidlərin Araşdırılması və Təhlili Qlobal Mərkəzinin (GReAT) baş antivirus eksperti Amin Hasbini bildirib.
“MuddyWater” kimi qruplaşmaların hücumundan müdafiə olmaq üçün “Kaspersky Lab” şirkətlərə növbəti tədbirlərin həyata keçirməsini tövsiyə edir:
- məqsədli hücumların aşkar olunması, qarşısının alınması və araşdırılmasına kompleksli yanaşın – kibertəhlükəsizliyi təmin etmək üçün qabaqcıl həllərdən yararlanın və əməkdaşları təlimlərə cəlb edin;
- təhlükəsizlik xidmətinin əməkdaşlarına təhdidlərin son araşdırması ilə tanış edin: bu məlumatlar onlara hücumları aşkar etmək və qarşısını almaq üçün effektli alətlərdən istifadəsinə imkan verəcək;
- düzəlişlərin idarə olunması proseslərinin korporativ səviyyədə yaxşı sazlanmasında əmin olun;
- sistemin bütün konfiqurasiyalarını iki dəfə yoxlayın və tövsiyələri tətbiq edib;
- əməkdaşları şübhəli elektron məktubları müəyyənləşdirməyi və onlara reaksiya göstərməyi öyrədin.
“MuddyWater” zərərverici kampaniya haqqında ətraflı məlumat burada.