Կասպերսկի. Չարագործները նոր մարտավարություններ են օգտագործում ԿԱՀ ցանցերից հաշվեգրեր գողանալու համար
Kaspersky ICS CERT-ի մասնագետները 2021-ին հայտնաբերել են լրտեսական ԾԱ-ի կիրառմամբ աճող թվով բազմաթիվ գրոհներ, որոնց թիրախն են դարձել աշխարհով մեկ գործող ԿԱՀ (կառավարման ավտոմատացված համակարգ) համակարգիչները։ Չարագործներն օգտագործում են լայն տարածում գտած լրտեսական ԾԱ, սակայն բուն գրոհները տարբերվում են թիրախների սահմանափակ քանակով և յուրաքանչյուր վնասաբեր նմուշի շատ կարճ կենսափուլով։
«Կասպերսկի» ընկերության փորձագետները նշում են, որ գրոհների տևողությունը, որպես կանոն, չի գերազանցում 25 օրը։ Դա շատ ավելի քիչ է, քան սովորաբար տևում են նման արշավները։ Վնասաբեր ԾԱ-ի յուրաքանչյուր օրինակը հայտնաբերվում է մի քանի տասնյակ համակարգիչների վրա, որոնցից 40-45%-ը կապ ունի ԿԱՀ-ի հետ, իսկ մնացածը նույն կազմակերպությունների ՏՏ-ենթակառուցվածքի մի մասն են:
Նման գրոհները մեծ տարածում են ստացել։ Լրտեսական ԾԱ-ի բոլոր նմուշների մոտավորապես հինգերորդ մասը (21%), որոնք 2021-ի առաջին կիսամյակում արգելափակվել են ԿԱՀ համակարգիչների վրա, վերաբերել է այս տեսակին: Միաժամանակ, լրտեսական ԾԱ-ի գրոհների բախված ԿԱՀ բոլոր համակարգիչների մինչև մեկ վեցերորդ մասը ենթարկվել են այդ մարտավարության կիրառմամբ գրոհների։
Առավել հաճախ վնասաբեր ծրագրերը տարածվում են որակով կազմված ֆիշինգային նամակների միջոցով։ Չարագործներն օգտագործում են հարձակման ենթարկված ընկերությունների կորպորատիվ փոստային համակարգերն այն կոնտակտների ցուցակներով ֆիշինգային նամակներ ուղարկելու համար, որոնք գողացվել են կոտրված փոստարկղերից: Այդպիսով գրոհը տարածվում է կազմակերպության տեղային ցանցում և մի ընկերությունից մյուսը՝ բիզնես նամակագրության քողի տակ։ Շատ դեպքերում, կոտրված կորպորատիվ փոստարկղերը չարագործների կողմից օգտագործվում են նաև որպես հետագա գրոհներում գողացված տվյալների հավաքման սերվերներ:
Աշխարհի ավելի քան 2000 արդյունաբերական ձեռնարկությունների SMTP-ծառայություններ (Simple Mail Transfer Protocol) չարագործների կողմից օգտագործվել են որպես գողացված տվյալների հավաքման և վնասաբեր ԾԱ-ի տարածման ենթակառուցվածք: Ընդ որում, կոտրվել և գողացվել են ավելի շատ կորպորատիվ փոստային հաշվեգրեր, ըստ փորձագիտական գնահատման, մոտ 7000-ը:
«Կասպերսկի» ընկերության փորձագետները հայտնաբերել են 25 առևտրային հարթակներ, որտեղ չարագործները վաճառում էին մուտքանուններ և գաղտնաբառեր, այդ թվում, հավանաբար, նաև այդ գրոհների ընթացքում գողացված: Վերլուծելով չարագործների առաջարկները՝ նրանք պարզել են, որ առավել արժեքավոր «ապրանք», ինչպես և սպասվում էր, համարվում են այն հաշվառման տվյալները, որոնք ապահովում են հասանելիություն ձեռնարկությունների ներքին համակարգերին: Հետազոտության պահին վաճառվող բոլոր RDP-հաշվեգրերի (Remote Desktop Protocol) 4%-ը պատկանել է արդյունաբերական ձեռնարկություններին, ինչը կազմել է առնվազն 2000 հաշվեգիր:
«2021 թվականի ընթացքում մենք արդյունաբերական ձեռնարկությունների համար սպառնալիքների լանդշաֆտում արագ աճող միտում ենք նկատել։ Չարագործները նվազեցնում են գրոհի մասշտաբը և յուրաքանչյուր նմուշի օգտագործման ժամանակը՝ արագ փոխարինելով այն նորով յուրաքանչյուր հաջորդ գրոհի ժամանակ։ Մեկ այլ մարտավարություն է առանց վնասաբեր կամ ոչ վստահելի ենթակառուցվածի օգտագործման ֆիշինգային նամակների ուղարկումը և գողացված տվյալների հավաքումը։ Ե՛վ մեկի, և՛ մյուսի համար օգտագործվում է նախկինում վարկաբեկված գործընկեր կազմակերպությունների՝ չարագործների նոր զոհերի գործընկերների փոստային համակարգը։ Սպառնալիքն իսկապես նշանակալի է և արժանի հատուկ ուշադրության»,- մեկնաբանում է Kaspersky ICS CERT թիմի փորձագետ Կիրիլ Կրուգլովը։
Այդ սպառնալիքի մասին ավելին կարելի է իմանալ այստեղ։