İran hakerləri taktika dəyişdi - Kiberhücumlarda yeni dövr

İran tərəfindən dəstəklənən "MuddyWater" haker qrupu İsrail və Misirdəki kritik infrastruktur qurumlarına yönəltdiyi hücumlarda diqqətçəkən taktika dəyişikliyinə gedib.

Valyuta.az xəbər verir ji, "ESET Research"in əvvəlki analizlərində qrupun tətbiq etdiyi taktika, texnika və prosedurların çox səs-küylü və asanlıqla aşkarlanan xarakter daşıdığı qeyd edilirdi. Lakin son hücum dalğasında qrup xeyli daha gizli şəkildə işləyən yeni alətlərdən istifadə etməyə başlayıb.

Yeni arxa qapı: "Fooder" yükləyicisi və "MuddyViper"

Hücumlarda istifadə edilən yeni arxa qapı sistemə "Fooder" adlı yükləyici vasitəsilə daxil olur. "Fooder"in diqqətçəkən xüsusiyyəti isə çox vaxt özünü klassik "Snake" (ilan) oyunu kimi göstərməsidir.

Bu saxta görünüş yalnız kamuflyaj deyil; “Snake” oyununun quruluşundan istifadə edilərək xüsusi gecikmə funksiyası yaradılır və bunun sayəsində yükləyicinin əsl məqsədi analiz alətlərindən daha yaxşı gizlədilir.

"Fooder"in yerləşdirdiyi "MuddyViper" isə daha əvvəl hesabatlaşdırılmamış yeni bir arxa qapıdır. C/C++ ilə hazırlanmış "MuddyViper":

* sistem məlumatlarını toplayır,
* fayllar yükləyib endirə bilir,
* komanda icra edə bilir,
* saxta "Windows Security" pəncərəsi göstərərək Windows giriş məlumatlarını və brauzer məlumatlarını oğurlaya bilir.

İlk təmas: Hədəfli fişinq e-poçtları

"MuddyWater" hücumlarının başlanğıc nöqtəsi adətən hədəf yönümlü fişinq e-poçtları (spear phishing) olurdu. Bu məktublara PDF əlavələri daxil edilir, istifadəçilər isə həmin PDF-lərdəki keçidlər vasitəsilə uzaqdan idarəetmə (RMM) proqramlarına yönləndirilirdi.

Fayllar "OneHub", "Egnyte", "Mega" kimi pulsuz saxlanma xidmətlərində yerləşdirilirdi. Lakin endirilən fayllar real RMM proqramları deyil, yükləyicilər olur və bununla da hücumçular sistemlərə öz arxa qapılarını yerləşdirə bilirdi.

Hədəflər: İsrail və Misirdə kritik sektorlar

Bu kampaniyada qrup İsraildə 17 fərqli qurumu hədəfə alıb. Hədəf olunan sahələrə aşağıdakılar daxildir:

* mühəndislik,
* yerli idarəetmələr,
* istehsal,
* texnologiya,
* nəqliyyat,
* enerji və kommunal xidmətlər,
* universitetlər.

Bundan başqa, Misirdə texnologiya sahəsində fəaliyyət göstərən bir qurum da hücumların hədəfi olub.

Kampaniyaya dair daha geniş analiz və hücum göstəriciləri üçün "ESET" tərəfindən hazırlanmış “MuddyWater: Snakes by the riverbank” adlı araşdırma incələnə bilər.

Paşa Məmmədli