Կասպերսկի. LuoYu կիբեռխմբավորումը վնասաբեր ԾԱ է տարածում ցանցով փոխանցման ժամանակ թարմացումների նենգափոխման միջոցով
«Կասպերսկի» ընկերության հետազոտողները հայտնաբերել են, որ WinDealer վնասաբեր ծրագրի տարածման համար չինարեն խոսող LuoYu կիբեռխմբավորումը կարող է իրականացնել «մարդը կողքից» (man-on-the-side) տիպի գրոհներ։
Ինչպես նշում են ընկերության փորձագետները, դրանք ոչ մեծ թվով առավել շատ ռեսուրսներ ունեցող չարագործներին հասանելի գրոհներ են, որոնց ընթացքում վնասաբեր ծրագրային ապահովումը (ԾԱ) ներդրվում է զոհի օրինական ցանցային տրաֆիկի մեջ: Արշավի հիմնական թիրախներն են օտարերկրյա դիվանագիտական կազմակերպությունները, ակադեմիական համայնքի անդամները, ինչպես նաև Չինաստանի տարածքում գործող պաշտպանական, լոգիստիկ և հեռահաղորդակցության ընկերությունները: Արշավն առնչվել է նաև Գերմանիային, Ավստրիային, ԱՄՆ-ին, Չեխիային, Ռուսաստանին և Հնդկաստանին։
Man-on-the-side գրոհը կառուցվում է հետևյալ կերպ. չարագործը ցանցում որոշակի ռեսուրսին միանալու հարցումներ է տեսնում: Դա տեղի է ունենում տվյալները ձեռք գցելու միջոցով կամ ինտերնետ-պրովայդերի ցանցում ռազմավարական դիրքի շնորհիվ: Այնուհետև նա զոհին պատասխանում է ավելի արագ, քան լեգիտիմ սերվերը, և ուղարկում է հարցվող ֆայլի վարակված տարբերակը: Նույնիսկ եթե գրոհողներն առաջին անգամից հաջողության չեն հասնում, նրանք կրկնում են իրենց փորձերը մինչև չվարակեն սարքերի մեծ մասը՝ դրանց մեջ ներբեռնելով լրտեսական հավելվածը: Դրա օգնությամբ կարելի է դիտել սարքում պահվող ցանկացած ֆայլ և ներբեռնել դրանք, ինչպես նաև կատարել բանալի բառերով որոնում։
Բացի տարածման այս եղանակից, WinDealer-ն ունի ևս մեկ հետաքրքիր առանձնահատկություն: Հաճախ վնասաբեր ԾԱ-ն պարունակում է ամրագրված հրամանների սերվեր: Եթե տեղեկատվական անվտանգության մասնագետն ստացել է նման սերվերի հասցեն, ապա նա կարող է արգելափակել այն և չեզոքացնել վտանգը։ Իսկ WinDealer-ն օգտագործում է IP-հասցեների գեներացման ալգորիթմ և հետո 48 հազար հասցեներից ընտրում, թե որի հետ է աշխատելու որպես սերվերի։ Ակնհայտ է, որ օպերատորները չեն կարող վերահսկել նման թվով սերվերները։
«2021 թվականին այս խումբը մտավ այն քչերի ակումբ, ում հասանելի է մինչև զոհեր տրաֆիկի մեքենայություները։ Լեգիտիմ ծրագրերի վարակված դիստրիբյուտիվներից բացի, դա ցույց է տալիս նաև հսկիչ սերվերի ցանցային հասցեի ընտրությունը գեներացված տարբերակների հսկայական քանակից, – մեկնաբանում է «Կասպերսկի» ընկերության կիբեռանվտանգության առաջատար փորձագետ Դենիս Լեգեզոն»։- Պաշտպանության տեսանկյունից օգտատերերին հարկ է հաշվի առնել, որ HTTPS-տրաֆիկ թափանցելը շատ ավելի բարդ է, և եթե օպերատորի ցանցի նկատմամբ վստահություն չկա, իսկ VPN-ի տարբերակը ինչ-ինչ պատճառներով անհասանելի է, ապա գոնե չարժե ներբեռնել սկրիպտներ և ծրագրեր չծածկագրված HTTP արձանագրության միջոցով։ Նախքան ներբեռնումն ստուգեք, որ կայքը ծածկագրված է փոխանցում ոչ միայն էջերը, այլև ֆայլերը».
WinDealer-ի նման բարդ սպառնալիքից պաշտպանվելու համար «Կասպերսկի» ընկերությունը նաև խորհուրդ է տալիս ընկերություններին իրականացնել ցանցերի կիբեռանվտանգության աուդիտ և վերացնել հայտնաբերված բոլոր խոցելիությունները; օգտագործել Endpoint Detection and Response լուծում և բարդ թիրախային գրոհների դեմ պայքարելու պրոդուկտ, ինչպես նաև մոնիտորինգի կենտրոնի (SOC) աշխատակիցներին ապահովել հասանելիություն ամենաթարմ վերլուծություններին և պարբերաբար բարձրացնել նրանց որակավորումը մասնագիտական դասընթացների միջոցով; կիրառել վերջնական սարքերի պաշտպանության լուծումներ և առավել առաջ գնացած գրոհներից պաշտպանվելու մասնագիտացված ծառայություններ; հետևել նոր սպառնալիքների ի հայտ գալուն, օրինակ, Threat Intelligence Resource Hub-ում, որն անվճար հասանելիություն է տրամադրում գլոբալ աղբյուրների մշտապես թարմացվող տեղեկատվությանը։