StripedFly: күрделі коды және тыңшылық мүмкіндіктері бар майнер-құрт

«Касперский зертханасының» сарапшылары StripedFly деп аталатын бұрын белгісіз және өте күрделі зиянды шабуылды тапты. 2017 жылдан бастап бүкіл әлем бойынша миллионнан астам қолданушы оның құрбаны болды, қазір ол аз белсенді болса да жалғасуда. Ұзақ уақыт бойы зиянды бағдарлама кәдімгі криптомайнер деп болжанған, бірақ кейінірек бұл көп қызметті, жұмыс істейтін құрылымы бар күрделі бағдарлама екендігі анықталды. Бұл туралы «Касперский Зертханасының» зерттеушілері Security Analyst Summit-те айтты.

2022 жылы «Касперский зертханасы» Жаһандық қатерді зерттеу және талдау орталығының (Global Research and Аnalysis Team-GReAT) сарапшылары осы зиянкесті қолдану арқылы екі жаңа оқиғаны анықтады. Олар Windows жүйесінде wininit.exe жүйелік процесімен байланысты болды. Бұл процесте бұрын Equation зиянды БЖ-да қолданылған код тізбегі табылды. Табылған үлгілердің белсенділігі кем дегенде 2017 жылдан бері жалғасып келе жатқанымен — ол алдын ала талдау кезеңінде бірден мұқият зерттелмеген, өйткені оны бастапқыда кәдімгі криптомайнер деп қателескен. Жан — жақты зерттеуден кейін криптомайнер көптеген плагиндері бар күрделі мультиплатформалық құрылымның бір бөлігі ғана екені анықталды.

ЗБЖ-да табылған көптеген модульдер шабуылдаушыларға оны APT шабуылдары аясында, сондай-ақ криптомайнер немесе тіпті бопсалаушы-бағдарлама ретінде пайдалануға мүмкіндік береді. Тиісінше, зиянкестердің ықтимал себептерінің тізімі қаржылық пайда табудан тыңшылыққа дейін айтарлықтай кеңейеді. Бір қызығы, зиянды модуль арқылы алынған Monero криптовалютасының құны 2018 жылдың 9 қаңтарында $542,33 жетті. Салыстыру үшін, 2017 жылы оның бағасы шамамен $10 болды. Қазір, 2023 жылы криптовалютаның құны $150 деңгейінде тұр. «Касперский зертханасының» сарапшылары майнинг модулі ұзақ уақыт бойы зиянды БЖ-ны толық анықтай алмаған негізгі фактор екенін атап көрсетеді.

Зиянкестердің жәбірленушілерге жасырын тыңшылық жасау үшін көптеген мүмкіндіктері бар. Зиянды БЖ екі сағат сайын есептік деректерін жинайды: бұл веб-сайтқа кіру немесе WiFi-ға қосылу үшін логиндер мен құпиясөздер немесе адамның жеке деректері, соның ішінде аты-жөні, мекен-жайы, телефон нөмірі, жұмыс орны және лауазымы болуы мүмкін. Сонымен қатар, зиянкес жәбірленушінің құрылғысынан скриншоттарды білдірмей түсіре алады, оны толық бақылауға алады және тіпті микрофоннан дауыстық деректерді жаза алады.

Компьютердің бастапқы жұқтыру көзі ұзақ уақыт бойы белгісіз болып қалды. «Касперский Зертханасының» одан әрі зерттеуі зиянкестер бұл үшін EternalBlue «SMBv1» эксплойтын өздері іске асыратынын көрсетті. EternalBlue осалдығы 2017 жылы анықталды, содан кейін Microsoft компаниясы түзетуді (MS 17-010) шығарды. Дегенмен, қауіп әлі де өзекті, өйткені барлық пайдаланушылар жүйені жаңарта бермейді.

Науқанды техникалық талдау барысында «Касперский зертханасының» сарапшылары Еquation зиянды БЖ-мен ұқсастықтарды тапты. Мұны техникалық индикаторлар, соның ішінде қолтаңбалар, бағдарламалау стилі, сондай-ақ StraitBizzare зиянды БЖ-да (SBZ) қолданылғанға ұқсас әдістер көрсетті. Жүктеу есептегішінен алынған мәліметтерге сүйенсек, StripedFly — дің мақсаты бүкіл әлем бойынша миллионнан астам қолданушы болды.

«Бұл фреймворкты құруға жұмсалған күш-жігердің мөлшері шынымен де әсерлі. Киберқауіпсіздік саласындағы мамандары үшін басты қиындық — шабуылдаушылар үнемі өзгеріп отыратын жағдайларға бейімделетіні болып табылады. Сондықтан біз, зерттеушілер үшін күрделі киберқауіптерді анықтау бойынша күш — жігерді біріктіру маңызды, ал клиенттер үшін кибершабуылдардан кешенді қорғау туралы ұмытпау керек», — деп түсіндірді «Касперский Зертханасының» киберқауіпсіздік жөніндегі сарапшысы Сергей Ложкин.

Зиянкестердің мақсатты шабуылдарынан қорғану үшін «Касперский зертханасының» мамандары мыналарды ұсынады:

• осалдықтарды уақытында жою үшін операциялық жүйені, қосымшаларды және антивирустық БЖ-ны үнемі жаңартып отырыңыз;
• құпия ақпаратты хабарлауды сұрайтын электрондық хаттарға, хабарламаларға немесе қоңырауларға сақ болыңыз; жіберушінің оларға деректерді жібермес бұрын немесе күдікті сілтемелерге өтпес бұрын жеке басын тексеріңіз;
• Қауіпсіздікті басқару орталығының (SOC) мамандарына қауіп-қатер туралы мәліметтер базасына (TI) қол жеткізуді қамтамасыз ету. Мысалы, Kaspersky Threat Intelligence компания 20 жылдан астам уақыт ішінде жинаған шабуылдар туралы деректерді ұсынады.
• команданың киберқауіпсіздік саласындағы, атап айтқанда, ең жаңа мақсатты қауіптер туралы білім деңгейін арттыру. Бұған «Касперский зертханасының» сарапшылары әзірлеген онлайн-тренинг көмектеседі.
• Kaspersky Endpoint Detection and Response сияқты соңғы құрылғы деңгейіндегі оқиғаларды уақтылы анықтау және оларға жауап беру үшін EDR шешімдерін пайдаланыңыз.