“Kaspersky Lab” tədarük zəncirinə hədəflənmiş yeni hücum aşkarlayıb. Şirkətin apardığı araşdırma nəticəsində məlum olub ki, “ShadowHammer” fırıldaqçılarının əsas hədəfi onlayn rejimdə drayverləri yeniləyən ASUS Live Update proqramının istifadəçiləri olub. 2018-ci ilin iyun-noyabr aylarında hücumçular bu proqram təminatına bekdor tətbiq ediblər. “Kaspersky Lab” mütəxəssislərinin fikrincə, bunun nəticəsində dünyada 1 milyondan çox istifadəçinin təhlükəsizliyi sual altında qalıb.
Tədarük zəncirinə hədəflənmiş hücumlar son zamanlar tez-tez istifadə olunan ən təhlükəli və effektiv yoluxma vektorlarından biridir. Buna nümunə olaraq “ShadowPad” və “CCleane”i misal çəkmək olar. Belə hallarda fırıldaqçılar məhsulun yaranmasından istifadəçiyə çatdığı ana qədər olan mərhələlərdə sistemdə ola biləcək çatışmazlıqları aşkarlıyır, lazım olan zəif nöqtələri axtarırlar. Vendor tamamilə qoruna bilər, amma bununla belə, onun tədarükçüsünün infrastrukturunda zəiflik bütün təchizat zəncirlərinə zərər verə bilər. Bu da məlumat sızmasının əsas səbəbi olur.
“ShadowHammer” yaradıcıları “ASUS Live Update”i ilkin yoluxma mənbəyi kimi istifadə edir. Bu proqram əksər yeni ASUS kompüterlərində proqram təminatının (BİOS, UEFİ, tətbiq və drayverlər daxil olmaqla) avtomatik yenilənməsi üçün quraşdırılır. Hücumçular “ASUS”un legitim faylları imzalamaq üçün istifadə etdiyi rəqəmsal sertifikatları oğurlayaraq, proqramın köhnə versiyalarına zərərli kodu tətbiq edirlər. Bundan sonra, troyan quraşdırılmış proqramlar qanuni sertifikatlarla imzalanır və “ASUS”un rəsmi yenilənmə serverlərindən yayılır. Bu da onları demək olar ki, əksər müdafiə həlləri üçün görünməz edir.
Müvafiq proqram təminatından istifadə edən hər kəsin bu hücumun potensial qurbanına çevrilməsi ehtimalı olduğu halda, “ShadowHammer”in yaradıcılarının əsas məqsədi konkret bir neçə yüz cihazı ələ keçirmək olub. “Kaspersky Lab”in araşdırmaçıları aşkar ediblər ki, hər bir bekdorun kodu özündə müəyyən MAC ünvanlarının siyahısını, yəni unikal identifikasiya kodlarını cəmləyib. Bunlar şəbəkə kartlarına tətbiq olunur ki, onlar da öz növbəsində kompüterin şəbəkəyə daxil olmasına zəmin yaradır. Potensial qurban kompüteri işə saldıqda isə fırıldaqçı bu MAC ünvanının siyahıda olub olmadığını yoxlayır. Əgər siyahıda varsa, o zaman növbəti zərərli kod modulu yüklənir. Əks təqdirdə, bu proqram heç bir fəalliyyət göstərmir və məhz buna görə hücum uzun müddət gözdən
yayına bilib. Ümumilikdə araşdırmaçılar siyahıda 600-dən çox MAC ünvan aşkarlaya biliblər. Onlar 230-dan çox unikal zərərverici proqram təminatının hədəfi olub. Bunların hər birinin müxtəlif şell-kodu olub.
Zərərli kodun icrası zamanı modul yanaşma istifadə olunub və kodun və ya məlumatların təsadüfən sızmasının qarşısını almaq üçün əlavə tədbirlər görülüb. Bu, hücumçuların aşkarlanmamaq üçün cərrah dəqiqliyi ilə çalışdıqlarını göstərir. Dərin texniki analiz göstərir ki, ShadowHammer çox inkişaf edib və qrupda son dərəcə yüksək inkişaf səviyyəsini nəzərdə tutur.
Bənzər zərərli proqram təminatının axtarışı zamanı Asiya regionunda daha 3 vendorun sistemində bekdorlar aşkar olunub. “Kaspersky Lab” “ASUS” və digər şirkətlərə aşkarlanmış problemlər barədə məlumat verib.
“Seçilmiş şirkətlər öz geniş müştəri bazaları ilə fırıldaqçıların hədəfinə tuş gəlib. Fırıldqaçıların məqsədi bu şirkətlərin müştəri bazalarını öz məqsədləri üçün istifadə etməkdir. Biz bu hücumun məqsədinin nə olduğunu hələ aydınlaşdıra bilməmişik. Həmçinin bu hücumun arxasında kimin durduğu araşdırılır. Lakin, sanksiyalaşdırılmamış kodun istifadə olunması üçün tətbiq olunmuş metodlar və digər faktlar BARİUM hücumlarına aid edilə bilər. Bu kampaniya tədarük zənciri vasitəsilə həyata keçirilən hücumların necə çətin və təhlükəli olduğunu bir daha sübut edir”- deyə “Kaspesky Lab”in Asiya-Sakit Okean regionu üzrə araşdırma mərkəzinin rəhbəri Vitaliy Kamlyuk bildirib.
“Kaspersky Lab” “ShadowHammer”in istifadə etdiyi zərərverici proqram təminatını bloklayır.
Hücumlara məruz qalmamaq üçün “Kaspersky Lab” aşağıdakılar qaydalara riayət etməyi tövsiyə edir:
- Cihaza mütləq qorumadan başqa, həm də korporativ təhlükəsizlik üçün çoxsəviyyəli həll yükləyin. Məsələn, Kaspersky Anti Targeted Attack Platform təkmilləşdirilmiş hücumları ilkin mərhələdə aşkarlayır.
- Cihazların qorunması, həmçinin insidentlərin aşkarlanması, araşdırılması və zamanında ləğv olunması üçün EDR həllinin tətbiq olunması məsləhətdir. Bunun üçün “Kaspersky Endpoint Detection and Response”dan istifadə etmək və ya mütəxəssislərdən ibarət “insidentlərə reaksiya” komandasına müraciət etmək lazımdır.
- Şəxsi SİEM sistemlərinizi və digər təhlükəsizlik elemetlərinizi “təhlükələr barədə məlumatlandırma” servisinə inteqrasiya edin ki, daha aktual təhlükələr barədə ətraflı məlumat ala biləsiniz.
“Kaspersky Lab” “ShadowHammer”in hücum kampaniyası haqqında 9-11 apreldə Sinqapurda baş tutacaq “Security Analyst Summit 2019” konferensiyasında ətraflı məlumat verəcək.