Կասպերսկի. Բարդ կոդով և լրտեսելու հնարավորություններով StripedFly որդ-մայները գրոհել է ավելի քան մեկ միլիոն օգտատերերի
«Կասպերսկի» ընկերության փորձագետները հայտնաբերել են նախկինում անհայտ և չափազանց բարդ վնասաբեր գրոհ, որն ստացել է StripedFly անվանումը: 2017-ից ի վեր դրա զոհ է դարձել ավելի քան մեկ միլիոն օգտատեր ամբողջ աշխարհում, այժմ այն շարունակվում է, թեև ոչ այդքան ակտիվ։ Երկար ժամանակ ենթադրվում էր, որ վնասաբերը սովորական կրիպտոմայներ է, բայց ավելի ուշ պարզվեց, որ դա բարդ ծրագիր է՝ բազմաֆունկցիոնալ աշխատունակ ֆրեյմվորկով։
2022-ին «Կասպերսկի» ընկերության Սպառնալիքների հետազոտության և վերլուծության գլոբալ կենտրոնի (Global Research and Analysis Team-GReAT) փորձագետները հայտնաբերել են այդ վնասաբեր ծրագրի օգտագործմամբ երկու նոր միջադեպ։ Դրանք կապված են եղել Windows-ի wininit.exe համակարգային գործընթացի հետ։ Այս գործընթացում հայտնաբերվել է կոդի հաջորդականություն, որը նախկինում օգտագործվել է Equation վնասաբեր ծրագրում: Ու թեև հայտնաբերված նմուշների ակտիվությունը շարունակվել է առնվազն 2017-ից, այն անմիջապես մանրակրկիտ չի ուսումնասիրվել նախնական վերլուծության փուլում, քանի որ սկզբում այն սխալմամբ համարել են սովորական կրիպտոմայներ։ Համակողմանի ուսումնասիրությունից հետո պարզվել է, որ կրիպտոմայներն ավելի բարդ, բազմաթիվ պլագիններով բազմահարթակ կառուցվածքի միայն մի մասն է:
Հայտնաբերված վնասաբեր ԾԱ-ի բազմաթիվ մոդուլներ թույլ են տալիս չարագործներին օգտագործել այն APT-գրոհների շրջանակում, ինչպես նաև որպես կրիպտոմայներ կամ նույնիսկ շորթիչ: Ըստ այդմ, էականորեն ընդլայնվում է չարագործների հնարավոր դրդապատճառների ցանկը՝ ֆինանսական օգուտ քաղելուց մինչև լրտեսություն։
Չարագործներն ունեն զոհերին գաղտնի լրտեսելու բազմաթիվ հնարավորություններ։ Վնասաբեր ԾԱ-ն հաշվառման տվյալներ է հավաքում է երկու ժամը մեկ. դրանք կարող են լինել կայք մուտք գործելու կամ Wi-Fi-ին միանալու մուտքանուններ և գաղտնաբառեր, կամ մարդու անձնական տվյալները, ներառյալ՝ անունը, հասցեն, հեռախոսահամարը, աշխատանքի վայրը և պաշտոնը: Բացի այդ, վնասաբեր ծրագիրը կարող է աննկատ կատարել զոհի սարքի էկրանի արտապատկերում, ստանալ դրա լիակատար վերահսկողություն և նույնիսկ գրանցել ձայնային տվյալները խոսափողից:
Համակարգչի առաջնային վարակման աղբյուրը երկար ժամանակ անհայտ է մնացել։ «Կասպերսկի» ընկերության հետագա հետազոտությունը ցույց է տվել, որ չարագործները դրա համար օգտագործում են EternalBlue «SMBv1» էքսպլոյտի սեփական տարբերակը։ EternalBlue խոցելիությունը հայտնաբերվել է դեռ 2017 թվականին, ինչից հետո Microsoft-ը թողարկել է շտկում (MS17-010): Այնուամենայնիվ, սպառնալիքը դեռ արդիական է, քանի որ ոչ բոլոր օգտատերերն են թարմացնում համակարգը:
Արշավի տեխնիկական վերլուծության ընթացքում «Կասպերսկի» ընկերության փորձագետները Equation վնասաբեր ԾԱ-ի հետ նմանություն են հայտնաբերել: Դա են ցույց տվել տեխնիկական ցուցիչները, ներառյալ՝ սիգնատուրները, ծրագրավորման ոճը, ինչպես նաև մեթոդները, որոնք նման են StraitBizzare (SBZ) վնասաբեր ԾԱ-ում օգտագործվածներին: Դատելով ներբեռնման հաշվիչից ստացված տվյալներից՝ StripedFly-ի թիրախ է դարձել ամբողջ աշխարհի ավելի քան մեկ միլիոն օգտատեր:
«Այս ֆրեյմվորկի ստեղծման համար գործադրված ջանքերի քանակը իսկապես տպավորիչ է: Կիբեռանվտանգության ոլորտի մասնագետների հիմնական դժվարությունն այն է, որ չարագործները մշտապես հարմարվում են փոփոխվող պայմաններին։ Ուստի մեզ՝ հետազոտողներիս համար կարևոր է միավորել ջանքերը բարդ կիբեռսպառնալիքների հայտնաբերման ուղղությամբ, իսկ հաճախորդների համար՝ չմոռանալ կիբեռգրոհներից համալիր պաշտպանության մասին»,- մեկնաբանում է «Կասպերսկի» ընկերության կիբեռանվտանգության փորձագետ Սերգեյ Լոժկինը:
StripedFly-ի մասին մանրամասները կարելի է իմանալ «Կասպերսկի» ընկերության հաշվետվությունից՝ https://securelist.com/stripedfly-perennially-flying-under-the-radar/110903/։