






USD | 3.4462 |
EUR | 4.1530 |
GBP | 4.7964 |
TRY | 0.4168 |

თბილისი (GBC) -2020 წლის შუა რიცხვებში „კასპერსკის ლაბორატორიის“ ექსპერტებმა აღმოაჩინეს ჯგუფ Lazarus-ის ახალი მავნე პროგრამა, რომელიც სპეციალიზირდება რთულ მიზნობრივ შეტევებში. თავდამსხმელებმა გააფართოვეს თავიანთი პორტფოლიო თავდაცვით ინდუსტრიებზე თავდასხმებით, სადაც მათ გამოიყენეს მავნე პროგრამა ThreatNeedle რომელიც მიეკუთვნებოდა Manuscrypt-ის კლასტერს. თავდასხმულთა მსხვერპლთა შორის იყვნენ საწარმოები რუსეთიდან. ასევე დარეგისტრირდა კიბერდამნაშავეთა ინფრასტრუქტურებისადმი მიმართვები ევროპიდან, ჩრდილოეთ ამერიკიდან, ახლო აღმოსავლეთიდან და აზიიდან, რაც ამ რეგიონებში შესაძლო მსხვერპლის არსებობაზე მიუთითებს.
ერთ-ერთმა ასეთმა დაზარალებულმა ორგანიზაციამ დახმარება სთხოვა „კასპერსკის
ლაბორატორიას“ კომპანიის ექსპერტებმა ქსელში
აღმოაჩინეს ThreatNeedle ბექდორი, რომელიც
ადრე ნახეს კრიპტოვალუტის კომპანიებზე Lazarus-ის თავდასხმებისას. როგორც გაარკვიეს, თავდაპირველი
ინფიცირებაა მომხდარა მიზნობრივი ფიშინგის საშუალებით: თავდამსხმელები
ემყარებოდნენ აქტუალურ თემას, როგორიცაა კორონავირუსული
ინფექციის პრევენცია და დიაგნოზი. ამ კამპანიის
ერთ-ერთი ყველაზე საინტერესო დეტალი ეხება იმას, თუ როგორ გადალახეს თავდამსხმელებმა
ქსელის სეგმენტაცია. შეტევას დაქვემდებარებული საწარმოს ქსელი დაყოფილი იყო ორ სეგმენტად: კორპორატიული
(ქსელი, რომლის კომპიუტერებს წვდომა აქვთ ინტერნეტთან) და იზოლირებული (ქსელი, რომლის
კომპიუტერები შეიცავს კონფიდენციალურ მონაცემებს და არ აქვთ ინტერნეტი). თავდამსხმელებმა
მოახერხეს როუტერისგან სერთიფიკატების მოპოვება, რომელსაც ადმინისტრატორები იყენებენ
იზოლირებულ და კორპორაციულ ქსელებთან დასაკავშირებლად. მისი პარამეტრების შეცვლით და
მასზე დამატებითი პროგრამული უზრუნველყოფის დაყენებით, მათ შეძლეს ქცეულიყვნენ საწარმოს
ქსელში მასპინძელ მავნე პროგრამად. ამის შემდეგ, როუტერი გამოიყენებოდა იზოლირებულ
სეგმენტში შესაღწევად, მისგან მონაცემების გამოსატანად და C&C სერვერზე გასაგზავნად.
„ Lazarus — ეს არა მხოლოდ ზეაქტიური ჯგუფია, არამედ ძალიან განვითარებულიც. თავდამსხმელებმა არა მხოლოდ გადალახეს ქსელის სეგმენტაცია, არამედ ჩაატარეს დაწვრილებითი გამოკვლევა, რათა მოპარული ინფორმაციის დისტანციურ სერვერზე გადასაცემად შეექმნათ პერსონალური და ეფექტური ფიშინგური გადაცემა. საწარმოებმა უნდა მიიღონ დამატებითი უსაფრთხოების ზომები ამ ტიპის კიბერჯაშუშური კამპანიისგან თავის დასაცავად“, - დასძენს Kaspersky ICS CERT- ის უფროსი ექსპერტი ვიაჩესლავ კოპეიცევი.
ThreatNeedle ბექდორის გამოყენებით
განხორციელებულ შეტევებზე შეგიძლიათ შეიტყოთ უფრო მეტი აქ: https://ics-cert.kaspersky.com/reports/2021/02/25/lazarus-targets-defense-industry-with-threatneedle/.