Microsoft-მა რუსი ჰაკერები უცხოეთის საელჩოებზე თავდასხმაში ამხილა

საბოლოო მიზანია მავნე TLS-ის ძირეული სერტიფიკატის დაყენება სადაზვერვო ინფორმაციის შეგროვების მიზნით.

რუსეთის სახელმწიფოსთან დაკავშირებული ჰაკერები მოსკოვში უცხოეთის საელჩოებს უნიკალური მავნე პროგრამით უტევენ, რომელიც „მოწინააღმდეგე შუაში“ (Adversary-in-the-Middle - AitM) ტიპის შეტევების გამოყენებით, ინტერნეტ-პროვაიდერის (ISP) დონეზე ინსტალირდება. ამის შესახებ Microsoft-მა გასულ ხუთშაბათს გაავრცელა გაფრთხილება.

კამპანია გასული წლიდან მიმდინარეობს. ის იყენებს ამ ქვეყანაში არსებულ ISP-ებს, რომლებიც ვალდებულნი არიან, რუსეთის მთავრობის სახელით იმუშაონ. ISP ქსელის კონტროლის უნარით, საფრთხის შემცველი ჯგუფი — რომელსაც Microsoft-ი Secret Blizzard-ის სახელით მოიხსენიებს — თავს სამიზნე საელჩოსა და იმ ენდფოინთებს შორის ათავსებს, რომლებსაც ისინი უკავშირდებიან. ეს პოზიცია Secret Blizzard-ს საშუალებას აძლევს, სამიზნეები გადაამისამართოს მავნე ვებსაიტებზე, რომლებიც ცნობილ და სანდო საიტებად არის შენიღბული.

მიზანი: ApolloShadow-ს დაყენება

„მიუხედავად იმისა, რომ ადრე დაბალი თავდაჯერებულობით ვაფასებდით, რომ ეს აქტორი კიბერშპიონაჟის საქმიანობას რუსეთის საზღვრებში ახორციელებდა, ეს პირველი შემთხვევაა, როდესაც შეგვიძლია, დავადასტუროთ, რომ მათ ამის გაკეთების შესაძლებლობა ISP-ის დონეზე აქვთ,“ — წერენ Microsoft-ის საფრთხეების სადაზვერვო გუნდის წევრები. „ეს ნიშნავს, რომ დიპლომატიური პერსონალი, რომელიც რუსეთში ადგილობრივ ISP ან სატელეკომუნიკაციო სერვისებს იყენებს, დიდი ალბათობით, Secret Blizzard-ის სამიზნეა.“

Secret Blizzard-ი მსოფლიოში ერთ-ერთი ყველაზე აქტიური და დახვეწილი, სახელმწიფოს მიერ დაფინანსებული ჰაკერული ჯგუფია. ის, სულ მცირე, 1996 წლიდან აქტიურია და, კიბერუსაფრთხოების სააგენტოს თანახმად, რუსეთის ფედერალური უსაფრთხოების სამსახურის (ФСБ) ქვედანაყოფია. ჯგუფი ასევე ცნობილია ისეთი სახელებით, როგორიცაა Turla, Snake და Waterbug.

კამპანიის მიზანია, აიძულოს სამიზნეები, დააყენონ უნიკალური მავნე პროგრამა, სახელად ApolloShadow. ApolloShadow, თავის მხრივ, აყენებს TLS-ის ძირეულ სერტიფიკატს, რომელიც Secret Blizzard-ს საშუალებას აძლევს, კრიპტოგრაფიულად მოახდინოს სანდო ვებსაიტების იმიტაცია, რომლებსაც დაინფიცირებული სისტემა საელჩოს შიგნიდან სტუმრობს.

ინფექციის ჯაჭვი

Microsoft-ის მიერ თებერვალში დაფიქსირებული AitM შეტევა სამიზნეების ავტორიზაციის პორტალის (captive portal) მიღმა მოქცევით იწყებოდა. ეს პორტალები ფართოდ გამოიყენება ლეგიტიმურ გარემოში, მაგალითად, სასტუმროებსა და აეროპორტებში, ინტერნეტზე წვდომის სამართავად.

ავტორიზაციის პორტალის მიღმა, გვერდი იწყებს Windows-ის კავშირის სტატუსის ტესტირების ინდიკატორის — ლეგიტიმური სერვისის — ინიცირებას. სისტემა ხსნის ბრაუზერის ფანჯარას, მაგრამ ის გადამისამართდება აქტორის მიერ კონტროლირებად ცალკე დომენზე, რომელიც, სავარაუდოდ, აჩვენებს სერტიფიკატის ვალიდაციის შეცდომას და სამიზნეს სთხოვს, ჩამოტვირთოს და გაუშვას ApolloShadow.

თუ ApolloShadow-ს არ აქვს საკმარისი სისტემური უფლებები, მავნე პროგრამა აჩვენებს მომხმარებლის ანგარიშის კონტროლის (UAC) ამომხტარ ფანჯარას და მომხმარებელს სთხოვს, დააყენოს სერტიფიკატები ფაილით, სახელად CertificateDB.exe, რომელიც Kaspersky-ს ინსტალერად არის შენიღბული.

თუ ApolloShadow-ს უკვე აქვს საკმარისი სისტემური უფლებები, მავნე პროგრამა აკონფიგურირებს ყველა ქსელს, რომელსაც ჰოსტი უკავშირდება, როგორც კერძოს. „ეს იწვევს რამდენიმე ცვლილებას, მათ შორის, ჰოსტ-მოწყობილობის აღმოჩენადობას და firewall-ის წესების შემსუბუქებას ფაილების გაზიარებისთვის,“ — განმარტა Microsoft-მა. „მიუხედავად იმისა, რომ პირდაპირი მცდელობები არ გვინახავს, ამ მოდიფიკაციების მთავარი მიზეზი, სავარაუდოდ, ქსელში ჰორიზონტალურად გავრცელების (lateral movement) სირთულის შემცირებაა.“

Microsoft-ი ურჩევს ყველა მომხმარებელს, რომელიც მოსკოვში ოპერირებს, განსაკუთრებით მგრძნობიარე ორგანიზაციებს, თავიანთი ტრაფიკი დაშიფრული გვირაბებით გადაამისამართონ, რომლებიც სანდო ISP-ს უკავშირდება.

ITNEWS-ის მეგობარი ვებ-გვერდია ITJOBS.GE. ITJOBS.GE-ზე ორგანიზაციებს და ფიზიკურ პირებს, აქვთ საშუალება განათავსონ როგორც ვაკანსები, ტრენინგები და ივენთები ასევე კონკრეტული Tech დავალებები, რისთვისაც ეძებენ დეველოპერებს, დიზაინერებს, სეო სპეციალისტებს და ა.შ. ITJOBS.GE - იპოვე დასაქმების საუკეთესო შესაძლებლობები ან გამოაქვეყნე ვაკანსია / დავალება და მიაწვდინე ხმა სასურველ აუდიტორიას.