„კასპერსკის ლაბორატორიამ“ გამოაქვეყნა Cuba-სთან დაკავშირებული ახალი კიბერ ინციდენტის გამოძიების შედეგები.
ეს არის გამოსასყიდი პროგრამების ჯგუფი, რომელიც თავს დაესხა ბევრ კომპანიას მთელს მსოფლიოში, მათ შორის საცალო ვაჭრობის, ლოჯისტიკის, ფინანსური, სამთავრობო უწყებებისა და სამრეწველო საწარმოების ჩათვლით ჩრდილოეთ ამერიკაში, ევროპაში, ოკეანიასა და აზიაში.
კომპანიის მონაცემებით, ამჯერად თავდამსხმელებმა მოახერხეს მავნე პროგრამის დანერგვა, რომელიც დიდი ხანია შეუმჩნეველი რჩებოდა ზოგიერთი მოწინავე გამოვლენის სისტემის მიერ.
2022 წლის დეკემბერში „კასპერსკის ლაბორატორიამ“ აღმოაჩინა სამი საეჭვო ფაილი ერთ-ერთი ინფიცირებული კომპანიის სისტემაში. ამ ფაილებმა გამოიწვია მოქმედებების თანმიმდევრობა, რასაც მოჰყვა მავნე ბიბლიოთეკის komar65-ის ჩამოტვირთვა, ის ასევე ცნობილია როგორც Bughatch-ი.
ის წარმოადგენს ბეკდურს, რომელიც განლაგებულია პროცესულ მეხსიერებაში და ახორციელებს ჩაშენებულ shell-კოდს მის გამოყოფილ მეხსიერების სივრცეში Windows API-ის გამოყენებით (VirtualAlloc, CreateThread, WaitForSingleObject) და შემდეგ უერთდება ბრძანებისა და კონტროლის სერვერს და ელოდება შემდგომ ინსტრუქციებს. მას შეუძლია ჩამოტვირთოთ პროგრამები, როგორიცაა Cobalt Strike Beacon და Metasploit. თავდასხმაში გამოიყენება Veeamp ინსტრუმენტი, რომელიც ასევე მიუთითებს Cuba-ს ჯგუფის მონაწილეობაზე. ამავდროულად, ზოგიერთი საქაღალდე ასევე შეიცავს რუსულ სიტყვებს მათ სახელებში და ეს შეიძლება იყოს კიდევ ერთი მტკიცებულება იმისა, რომ ამ მიმართულებით რუსულენოვანი ჯგუფი მუშაობს.
„კასპერსკის ლაბორატორიის“ ექსპერტებმა დაადგინეს დამატებითი მოდულები, რომლებიც აფართოებენ ამ მავნე პროგრამის ფუნქციონირებას. კერძოდ, მათ შორის არის მოდული, რომელიც აგროვებს ინფორმაციას ინფიცირებული სისტემიდან და აგზავნის სერვერზე HTTP POST- მოთხოვნის სახით.
გარდა ამისა, VirusTotal-ზე ახალი ტიპის მავნე პროგრამა აღმოაჩინეს, რომელთა გამოყენება Cuba-ს ავტორებს მიეკუთვნება. ზოგიერთი მათგანი არ იქნა აღმოჩენილი სხვა გამყიდველების გადაწყვეტილებებით. ეს არის მავნე პროგრამა Burntcigar-ის ახალი ვერსიები, რომლებიც იყენებენ დაშიფრულ მონაცემებს ანტივირუსის გვერდის ავლით.
თუმცა, როგორც წესი, Cuba-ს გამოსასყიდი პროგრამა იყენებს ერთი ფაილის განლაგების ტექნიკას, რაც მას საშუალებას აძლევს იმუშაოს მავნე ბიბლიოთეკის ჩამოტვირთვის გარეშე, რაც საფრთხის გამოვლენას ბევრად Cuba-ს ოპერატორები იყენებენ როგორც საჯაროდ ხელმისაწვდომ, ასევე სახლში შექმნილ მავნე პროგრამებს, მუდმივად აუმჯობესებენ მათ და ასევე იყენებენ ტაქტიკას, როგორიცაა BYOVD (Bring Your Own Vulnerable Driver). ეს არის შეტევა, რომლის დროსაც თავდამსხმელები ახორციელებენ მავნე მოქმედებებს სისტემაზე ლეგიტიმური, ხელმოწერილი, დაუცველი დრაივერების გამოყენებით.
„ჩვენი კვლევა აჩვენებს, თუ რამდენად მნიშვნელოვანია კომპანიებში ინფორმაციული უსაფრთხოების სპეციალისტების წვდომა მიმდინარე კიბერ საფრთხეების შესახებ ანალიტიკურ ანგარიშებზე. გამოსასყიდი პროგრამების ჯგუფები, მაგალიტად როგორიცაა Cuba, მუდმივად ვითარდებიან და აუმჯობესებენ თავიანთ ტაქტიკას, ამიტომ მნიშვნელოვანია დარჩეთ ერთი ნაბიჯით წინ პოტენციური თავდასხმების ეფექტურად წინააღმდეგობის გაწევისთვის.
„კასპერსკის ლაბორატორიაში“ Threat Intelligence და MDR გუნდები მჭიდროდ თანამშრომლობენ ერთმანეთთან, მუდმივად ცვლიან მონაცემებს და აუმჯობესებენ მათ მიერ მოწოდებულ სერვისებს. მუდამ ცვალებად საფრთხის ლანდშაფტში, შესაძლო რისკების შესახებ ინფორმირებულობა არის კიბერ ინციდენტების შედეგებისგან დაცვის ერთ-ერთი მნიშვნელოვანი კომპონენტი“, – შეგვახსენებს „კასპერსკის ლაბორატორიის“ კიბერუსაფრთხოების ექსპერტი გლებ ივანოვი.
Cuba-ს ჯგუფის განმასხვავებელი თვისება ის არის, რომ მისი წევრები აყალბებენ კომპილაციის დროის ნიშანს, რათა შეცდომაში შეიყვანონ მკვლევარები. მაგალითად, 2020 წელს აღმოჩენილ ნიმუშები დათარიღებულნი იყვნენ 2020 წლის 4 ივნისით, ხოლო უფრო ახლები სავარაუდოდ, შედგენილნი იყვნენ 1992 წლის 19 ივნისს. გამომძალველთა უნიკალური მიდგომა არის ის, რომ ის არა მხოლოდ შიფრავს მონაცემებს, არამედ არეგულირებს შეტევებს ისეთი მგრძნობიარე ინფორმაციის მოსაპარად, როგორიცაა ფინანსური დოკუმენტები, საბანკო ანგარიშები, კომპანიის ანგარიშები და წყაროს კოდი. განსაკუთრებით რისკის ქვეშ არიან პროგრამული უზრუნველყოფის მწარმოებლები.
