Hiylaqush kiber operatsiyasi
Hiylaqush kiber operatsiyasi
“Birinchi hiylaqush” operatsiyasi
*UZ segmentida telegram ijtimoiy tarmog’i orqali ommaviy tarqalgan ushbu zararli dasturning dastlabki izlarini, 2023-yil 14-dekabrdan boshlanganini kuzatdik. Kiberjinoyatchilar O’zbekistonda telegram messenjeri keng foydalanishini bilgan holatda, turli davlat tashkilotlarini maqsadli xujum nishoni sifatida bilib, ularga tegishli guruhlar va xodimlarning telegram profillariga zararli dasturlarni turli niqoblar, nomlar va ssenariylar ko’rinishida tarqatishgan.
Hozirgacha ushbu zararli dasturlarning ochiq guruh va telegram kanallarda mavjud ekanligi va yangi ko’rinishdagi namunalari tarqalayotganini kuzatmoqdamiz. Ushbu izlanishimiz har yili o’tkaziladigan, “Markaziy Yevroosiyo axborot xavfsizligi va Kiberxavfsizlik sammiti” ning 2024-yilgisida taqdim etilgan edi. Unda bir qancha zararli dasturlar va ularni boshqaruvchi kiberjinoyatchi guruhlarga tegishli ma’lumotlar taqdim etilgan.
2024-yilning dastlabki choragida aniqlangan zararli dasturlar, quyidagi nomlar orqali maqsadli xujumlarda foydalanilgan.
Aniqlangan zararli dasturlar asosan 2 xil turdagi “Stealer” va “RAT” oilasiga mansub ekanligi aniqlandi, “Stealer” zararli dasturining tahlilini quyida navbat bilan ko’rib chiqamiz.
Zararli dastur tizimda ishga tushgach (Windows OS), tizimdagi Defender antivirusi sozlamalaridan o’z-o’zini tekshirishni chetlab o’tishi uchun “powershell” buyruqlari orqali fonda quyidagi buyruqlarni bajargan.
Keyingi qadamda zararli dastur tizimdagi Defender antivirusining barcha xavfsizlik monitoringi modullarini o’chirish vazifasini bajargan, bu zararli dasturga tizimda keyinchalik erkin harakatlanish imkonini bergan.
Tizim va Defender antivirusi xavfsizlik holati nazoratga olingach, foydalanuvchini chalg’itish uchun zararli dastur “feyk” xabar ko’rsatgan, bu foydalanuvchini aldash va ushbu dastur ma’lum xatolik (0xc000007b runtime error) sabab ishga tushmasligini uqtirmoqchi bo’lgan.
Barcha zarur qadamlar bajarilgach, zararli dastur foydalanuvchi tizimini identifikatsiyalash uchun “wmic” – tizim ma’lumotlarini boshqarish va olish uchun ishlatiladigan CLI – (Command Line Interface) dasturidan foydalangan.
Zararli dastur tizimning “reestr” qismida bir qancha o’zgartirishlar kiritadi va mavjud ma’lumotlarni o’qishni boshlaydi.
Zararli dastur keyingi qadamlarda tizimning “TEMP” direktoriyasiga bir qancha modullarni yuklab oladi, bu modullar tizimda keyinchalik boshqa vazifalarni bajargan.
Quyida bu modullar va ularning har birining vazifasini ko’rishingiz mumkin.
Barcha tahlil natijalari va qo’lga kiritilgan modul namunalari tahlili, ushbu zararli dastur “Blank grabber” ekanligini ko’rsatdi. “Blank Grabber” dastlab “Blank” taxallusi ostidagi xaker tomonidan ishlab chiqilgan. U ochiq manbaali (open-source) sifatida Githubda e’lon qilingan va keyinchalik “Astounding” (BlackForums administratori) kabi boshqa ishlab chiquvchilar tomonidan qo‘llab-quvvatlanib, rivojlantirilgan. Dastur pythonda yozilgan va o‘zining oddiy interfeysi tufayli, hatto tajribasiz kiberjinoyatchilar uchun ham ishlatishga qulay va oson bo’lgan. Ommaviy tarqalishiga ham aynan shu sabab bo’lgan. Ushbu zararli dasturni birinchi marta qaysi xakerlik guruhi tomonidan ishlatilgani haqida aniq ma’lumot mavjud emas, chunki u ochiq manbali dastur sifatida keng tarqalgan va turli xakerlar tomonidan ishlatilgan. Izlanishlarimiz natijasida O’zbekiston hududida tarqalgan aynan ushbu zararli dasturning bir qancha o’zgartirilgan ko’rinishlari aniqlangan.
Keyingi kiberjinoyatchilar arsenalidagi zararli dastur qaysi oilada ekanligini tezda aniqlash mumkin, faqat uni kuzatish va aniqlash biroz qiyinchilik tug’dirishi mumkin. “Blank grabber” dan farqli o’laroq DC RAT – Dark crsytal RAT (remote access trojan) ma’lum mablag’ evaziga sotib olinadi va ishlashi uchun server, domen talab qiladi.
Ushbu rasmda aynan “DC Rat” ishlashi uchun ishlatilgan domenni ko’rishimiz mumkin. Domen nomi bo’yicha o’rganilgan CYBER-BRO CTI kiber razvedka platformasi ma’lumotlariga ko’ra, bu yirik kiberjinoyatchi guruh “NyashTeam” ga tegishli ekanligi aniqlangan.
Zararli dastur tizimga tushgach barcha saqlangan login parollar, maxfiy ma’lumotlar, dasturlarda saqlangan ma’lumotlar, kriptohamyonlar ma’lumotlarini telegram bot orqali o’g’irlagan.
Zararli dastur kiberjinoyatchilar forumlarida alohida “M.a.a.S” – malware as a service sifatida 2019-yildan beri sotuvga qo’yilganligi aniqlandi.
Quyida ushbu RAT dasturining interfeysini va undagi O’zbekiston va boshqa davlatlardan zararlangan kompyuterlarni ko’rish mumkin
“NyashTeam” va u xizmat ko’rsatadigan kiberjinoyatchilarga tegishli 500 dan ortiq domen va serverlar aniqlangan.
“NyashTeam” kiberjinoyatchilarga “DCRAT” ning o’zgartirilgan versiyasini sotish va xizmat ko’rsatish vazifasini bajargan, ya’ni ulardan istalgan kiberjinoyatchi bu zararli dasturni sotib olib tayyor “virus” ni tarqatish orqali foydalanuvchilar va tashkilotlar kompyuterlarini kuzatish, boshqarish, o’zgartirish imkoniyatiga ega bo’lishgan, aynan shunday kiberjinoyatchilardan birini biz 2023-yilning dekabr oyida aniqlash orqali yirik O’zbekistonga qaratilgan ko’p tarmoqli kiberhujumlarni oldini oldik. Quyida bu haqida qisqacha ma’lumotlarni berib o’tamiz.
Odatda kiberjinoyatchilarni aniqlash uchun ko’p tomonli kompleks choralar qo’llanilishi kerak, texnik bilim bilan birga ijtimoiy psixologik o’rganishlar ham kiberjinoyatchilarni aniqlashda juda foydalidir, odatda bu kabi kichik va ommaviy ochiq bo’lgan zararli dasturlardan, mustaqil harakatlanuvchi yoki bir necha kishidan iborat kichik kiberjinoyatchilargina foydalanishadi, yirik va maqsadli xujumlarni amalga oshiruvchi xakerlik guruhlari bunday arsenaldan foydalanishmaydi, shu sabab bizning mutaxassislarimiz “Nyashteam” a’zolaridan birining kompyuteriga osongina kiraolishdi. Batafsil bu haqida “CYBERKENT v2” da e’lon qilingan taqdimotdan bilib olishingiz mumkin.
Ushbu rasmdagi qurilma kiberjinoyatchilar CYBER-BRO mutaxassislari oldindan qoldirgan “tuzoq” ga tushishi orqali aniqlangan. Kiberjinoyatchilar “tuzoq” kompyuterga kirish orqali bir vaqtda o’zlarining kompyuterlarini ham zararlashadi va bu orqali mutaxassislarimiz kiberjinoyatchilar kompyuteridagi ma’lumotlar, zararlangan davlatlar, tashkilotlar, qo’lga kiritilgan ma’lumotlar, zararli dasturlarning bir qancha boshqa turlarini qo’lga kiritishdi. Qo’lga kiritilgan ma’lumotlar shuni ko’rsatadiki, kiberjinoyatchilar O’zbekiston hududida anchadan beri faol ishlashgan, ma’lumotlar va zararlangan tashkilotlar ro’yxati, zarar ko’lami haqida batafsil keyingi izlanishlarimiz hisobotlaridan bilib olishingiz mumkin bo’ladi.
Ushbu surat “NyashTeam” kiberjinoyatchilarga taqdim qilgan”DCRAT” dasturi operatori kompyuteridan olingan. (2024-yil yanvar oyi) Biz bu operatorga “Uyqudagi ayiq” deb nom berdik. Operatsiyaga esa “Birinchi hiylaqush” deb nom beramiz. Bir yildan keyin, yaqinda (22-iyul kuni) F6 (ex F.A.C.C.T) kiberxavfsizlik kompaniyasi “Nyashteam” ga tegishli Rossiya hududidagi domenlarni yopishga muvaffaq bo’lganini ma’lum qildi.
Batafsil ma’lumot olish va taqdimotni ko’rish.
Cyber Threat Intelligence Platform
Hacker Group Infiltration
Ba’zi hollatlarda, CTI platformalari ishonchli vositachilar yoki infiltratsiya qilingan kanallar orqali xaker guruhlari vakillari bilan bevosita aloqaga kirishadi. Bunday aloqalar orqali ilgari chiqarilmagan, yopiq ma’lumotlar qo’lga kiritiladi va ommaviy sizib chiqishining oldi olinadi.
Commercial Threat Intelligence Feeds
Ma’lumotlar butun internetdan turli kanallar orqali yig’iladi va doimiy monitoring qilinadi. OSINT – ochiq manbalar: forumlar, bloglar, ijtimoiy tarmoqlar, xabarlar tahlil qilinadi. Dark Web va Deep Web – maxfiy forumlar, ma’lumotlar bozorlari. Honeypotlar – maxsus tuzilgan tuzoq tizimlari orqali xakerlik guruhlari faoliyatini kuzatish orqali. Malware – zararli dasturlar bazalari (VirusTotal, Hybrid Analysis va boshqa). STIX/TAXII, MISP, AlienVault OTX kabi tizimlardan tahdid ma’lumotlari almashinuvi orqali UZ segmenti uchun ma’lumotlar olinadi. Tahliliy vositalar – SIEM va boshqa cloud tizimlari orqali log-fayllar va hodisalar tahlili orqali ma’lumotlar almashiniladi.
