Kaspersky, 2020-ci ilin əvvəlində qeydə alınan hədəf hücumların təfərrüatlarını açıqladı

Kaspersky, 2020-ci ilin əvvəlində qeydə alınan hədəf hücumların təfərrüatlarını açıqladı

Kaspersky ICS CERT mütəxəssislərinin fikrincə, 2020-ci ilin əvvəlindən bəri müşahidə etdikləri bir sıra hədəf hücumlarının qurbanları arasında sənaye müəssisələri üçün avadanlıq və proqram təminatçıları da var. Hazırda Yaponiya, İtaliya, Almaniya və İngiltərədəki sistemlərə hücum faktları məlumdur. Təcavüzkarlar zərərli Microsoft Office sənədlərindən, PowerShell skriptlərindən, habelə zərərli proqramın görüntü daxilində yayıldığını gizlətməyə imkan verən steqanoqrafiya texnologiyası da daxil olmaqla zərərli proqramları aşkarlamağı və təhlil etməyi çətinləşdirən müxtəlif üsullardan istifadə edirlər.Aşkar edilmiş hallarda, hədəf hücumunun başlanğıc vektoru kimi hədəfə alınmış şirkətin yerləşdiyi ölkədə danışılan dildə yazılmış mətndən ibarət fişinq məktubdan istifadə edilir. İstifadə olunan zərərli proqram yalnız əməliyyat sistemində fişinq mesajının yazıldığı dilə uyğun lokalizasiya olduqda icra olunur. Məsələn, Yaponiyadan bir şirkətə hücum edildiyi təqdirdə, fişinq mesaj mətni və daxilində zərərli makros (Microsoft Office-də ümumi tapşırıqların avtomatlaşdırılması və istifadəçi məhsuldarlığının artırılması üçün üsul) olan Microsoft Office sənədi Yapon dilində yazılmışdır və zərərli proqramın modulunun şifrəsini aça bilməsi üçün əməliyyat sisteminin Yapon lokalizasiyası olmalıdır.
Bundan əlavə, təcavüzkarlar hücum edilən müəssisələrin işçilərinə məxsus Windows hesablarından məlumatları oğurlamaq üçün Mimikatz utilitindən istifadə ediblər. Bu məlumatın köməyilə korporativ şəbəkədəki digər sistemlərə, o cümlədən potensial olaraq domen administratoru hüquqlarına malik hesablara daxil ola bilərsiniz. Bundan əlavə, təcavüzkarlar müəssisə şəbəkəsi daxilində hücum potensialını da inkişaf etdirə bilərlər.
Aşkar edilmiş bütün hallarda zərərli proqram Kaspersky həlləri tərəfindən bloklanıb, amma təcavüzkarların son məqsədi naməlum olaraq qalır. Kaspersky ICS CERT mütəxəssisləri yeni oxşar hücumları izləməyə davam edir və Kaspersky-nin veb saytında yerləşdirilmiş xüsusi formadan istifadə edərək analoji hallar barədə məlumat verməyi xahiş edirlər.
“Bir neçə qeyri-standart texniki həll səbəbindən bu hücuma diqqət çəkmişik. Məsələn, zərərli modul qanuni veb resurslarda yerləşdirilən bir görüntü içərisində steqanoqrafiya metodlarından istifadə etməklə kodlanır. Müvafiq olaraq, şəbəkə trafikini izləyən və ona nəzarət edən monitorinq vasitələrilə bu cür zərərli proqramın yüklənməsini aşkar etmək praktiki olaraq mümkünsüzdür, çünki texniki həllər baxımından bu cür fəaliyyət görüntünün qanuni hostinqinə edilən adi müraciətdən heç də fərqlənmir. Ayrıca, təcavüzkarlar bilərəkdən proqram koduna bir səhv əlavə ediblər ki, o, zərərli proqramı yalnız müəyyən bir lokalizasiyaya malik sistemlərdə işə salır. Bu cür texnikaların istifadəsini, həmçinin hücumların dəqiq hədəfə malik olması faktını nəzərə alsaq, söhbətin mürəkkəb bir hədəf hücumundan getdiyini deyə bilərik, onun hədəfləri arasında sənaye şirkətlərinin tədarükçülərinin olması isə narahatlıq doğurur. Podratçı şirkətin əməkdaşlarının istifadəçi adları və şifrələri təcavüzkarların əlinə keçərsə, bunun bir çox nəticəsi ola bilər: məxfi məlumatları oğurlanmasından tutmuş, sənayə müəssisəsinə, məsələn, podratçının istifadə etdiyi uzaqdan idarəetmə vasitələrindən istifadə edərək hücumlara qədər,» deyə Kaspersky mütəxəssisi Vyaçeslav Kopeyçev bildirib.
«Hücum bir daha təsdiqləyir ki, enerji sektorundakı təşkilatlar üçün şəbəkənin həm korporativ, həm də texnoloji seqmentlərində server və stansiyaların müdafiəsini təmin etmək həyati vacib məsələdir. Bu cür yoluxmaların qarşısını almaq üçün istifadə zəncirinin son cihazlarının etibarlı müdafiəsi kifayətdir, lakin biz hərtərəfli yanaşmanı məsləhət görürük. Podratçılar və təchizatçılar üzərindən edilən hücumlar, müəssisə daxilində, o cümlədən texnoloji şəbəkənin daxilində tamamilə fərqli giriş nöqtələrinə sahib ola bilər. Təcavüzkarların hədəfləri bizə tam məlum deyil, lakin belə hallarda müəssisənin vacib sistemlərinə daxil ola biləcəklərini güman etmək daha düzgün olar. Müəssisənin texnoloji şəbəkə sistemlərinə və ilkin qurğularına edilən hücum siqnallarını vaxtında bilmək və baş verə biləcək hadisələrin qarşısını almaq üçün şəbəkə monitorinqi, hücumların anomaliyası və aşkarlanması üçün müasir vasitələrdən istifadə edilməlidir,» Kaspersky-nin Azərbaycandakı rəsmi nümayəndəsi Müşviq Məmmədov deyib.

Kaspersky, sənaye müəssisələrinə hədəf hücumun qurbanı olma riskini azaltmağı tövsiyə edir:

  • işçilərə poçtla təhlükəsiz işləmək və xüsusən də fişinq e-poçtlarını tanımaq bacarığı üzrə təlim keçmək;
  • Microsoft Office sənədlərindəki makrosların və mümkünsə PowerShell skriptlərinin icrasını məhdudlaşdırmaq;
  • Microsoft Office tətbiqetmələrinin başlatdığı PowerShell prosesinin başlanması hallarına xüsusi diqqət yetirmək;
  • Mümkün olduğu qədər SeDebugPrivilege proqramları vasitəsilə alınan imtiyazları məhdudlaşdırmaq;
  • Təhlükəsizlik siyasətinin mərkəzləşdirilmiş idarəsi imkanı və antivirus bazalarının aktual vəziyyətində dəstək imkanları ilə istifadə zəncirinin son cihazı üçün həll və müdafiə həllərinin proqram modulları, məsələn biznes və IT sistem üçün Kaspersky Endpoint Security, OT sistem üçün KICS for Nodes quraşdırmaq
  • Bütün kritik sənaye sistemlərinin hərtərəfli müdafiəsi naminə OT-şəbəkələr üçün KICS for Networks kimi müdafiə həlləri quraşdırmaq;
  • domen administratoru hüquqları ilə istifadəçi hesablarını yalnız zəruri hallarda istifadə etmək və onlardan istifadə etdikdən sonra autentifikasiyanın aparıldığı sistemi yenidən başlatmaq;
  • mürəkkəblik səviyyəsi və müntəzəm şifrə dəyişiklikləri tələbləri ilə parol siyasətini həyata keçirmək;
  • Sistemlərin yoluxma şübhəsi olduqda, antivirus proqramı ilə yoxlamaq və boşluq vermiş sistemlərə daxil olmaq üçün istifadə olunan bütün hesabların şifrəsini məcburi dəyişmək.

Hədəf hücumları haqqında məlumatların tam hesabatını bu linkdən əldə edə bilərsiniz:

https://ics-cert.kaspersky.ru/reports/2020/05/28/steganography-in-targeted-attacks-on-industrial-enterprises/