RƏQƏMSAL DÜNYA

“Kaspersky Lab” şirkətinin tədqiqatçıları məşhur məşhur “Lazarus” qruplaşmasının yenidən aktiv fəaliyyət göstərdiyini müəyyən ediblər. Ekspertlər əsas məqsədi Cənubi Koreyada “CoinIS” kriptovalyuta birjası olan zərərverici hücum qeydə alıblar ki, sözügedən birjadan “Lazarus” vasitəsilə 2 milyon ABŞ dollarına yaxın vəsait oğurlanıb.

Xeberler.az  məlumat verir ki, cinayətkarlar birjanın şəbəkəsinə “Celas Trade Pro” kriptovalyutalarla ticarət üçün virusa yoluxmuş proqram təminatı vasitəsilə daxil olublar. Maraqlısı odur ki, hucümçular zərərli proqramın iki versiyasından istifadə ediblər: “Windows” və “macOS” üçün. Bu, “Lazarus”un arsenalında ilk məşhur zərərverici “macOS” nümunəsidir.

“Kaspersky Lab”ın analitikləri müəyyənləşdiriblər ki, uğurlu hücumu insan faktoru müşayiət edib. Hücuma məruz qalan şirkətin əməkdaşı heç bir şeydən şübhələnmədən proqram təminatı istehsalçısının (“Celas Limited” şirkəti) veb-saytından kriptovalyutalarla ticarət üçün yad bir tətbiq yükləyib. Bununla belə, sayt kifayət qədər legitim görünürdü. Zərərverici tətbiq kodu yenilənmələrə cavab verən bir komponent isitisna olmaqla ümumilikdə heç bir şübhə doğurmur. Legitim proqram təminatında bu kimi modullar proqramın yeni versiyalarının yüklənilməsi üçün istifadə olunur. Lakin bu halda komponent “kəşfiyyat” və məlumatların toplanması üçün tətbiq edilirdi: proqram kompüter haqqında baza məlumatları
toplayıb, onları cinayətkarlara ötürürdü və isitifadəçi onlar üçün maraq kəsb etdiyi halda sözügedən proqram zərərverici kodu yenilənmə şəklində yükləyirdi. Yoluxmuş kompüterlərə düşən zərərverici proqram tədqiqatçılara yaxşı tanışdır: bu, kiberqruplaşmanın yenidən qayıtdığı “Fallchill” troyanıdır – “Lazarus”un köhnə aləti. Məhz bu fakt analitiklərə hücumun arxasında kimin dayandığını müəyyənləşdirməyə imkan yaradıb.

“Fallchill” quraşdırıldıqdan sonra hücum edənlərə istifadəçinin kompüterinə məhdudiyyətsiz sayda daxil olmağa imkan verir ki, nəticədə, məqsəd və şəraitdən asılı olaraq cinayətkarlara dəyərli maliyyə məlumatlarını oğurlamağa və ya əlavə alətləri tətbiq etməyə imkan verir. Vəziyyət həm də ona görə mürəkkəbləşir ki, yeni hücumda cinayətkarlar təkcə “Windows” platforması ilə kifayətlənməyib, “macOS” əməliyyat sistemi üçün də sözügedən troyanın tam oxşar versiyasını yaradıblar. Bundan öncə “macOS” ənənəvi olaraq kiberhücumlara daha az məruz qalan əməliyyat sistemi hesab olunurdu (“Windows”la müqayisədə). “AppleJeus” adını alan hücumun daha bir xüsusiyyəti tədqiqatçıların diqqətini cəlb edib. İlk baxışdan əməliyyat tədarükçüyə edilən hücum kimi görsənir (potensial qurbanlara xidmət və ya məhsul təklif edən kənar təşkilatlar bilərəkdən virusa yoluxdurulanda), lakin bu, böyük ehtimalla, belə deyil. Zərərvericini istifadəçilərin kompüterlərinə çatdırmaq məqsədilə seçilən kriptovalyutalarla ticarət üçün olan proqram təminatı istehsalçısı hazırda da qüvvədə olan və öz proqramlarını imzalamaq üçün nəzərdə tutulan sertifikata malikdir, onun qeydiyyat domen yazıları isə qanuni görsənir. Lakin açıq olan məlumatı öyrəndikdən sonra “Kaspersky Lab”ın ekspertləri informasiya sertifikatında göstərilən ünvada yerləşdirilən heç bir qanuni təşkilatı eyniləşdirə bilməyiblər.

“Biz 2017-ci ilin əvvəlində “Lazarus”un kriptovalyuta bazarlarına artan marağını müşahidə etmişik, həmin vaxt qruplaşma öz serverlərinin birində mayninq üçün “Monero” adlı proqram təminatı quraşdırmışdı. O andan etibarən onları dəfələrlə kriptovalyuta birjaları və diqər maliyyə təşkilatlarına hücumlarda görüblər. Bu dəfə qruplaşma “macOS” istifadəçilərini virusa yoluxdurmaq üçün ayrıca proqram təminatı hazırlayıb ki, bununla da onlar potensial qurbanların dairəsini gemişləndirib və böyük ehtimal ilə müdafiə həllərinin radarlarından yayınmaq üçün böyük bir saxta “software” şirkəti və saxta proqram təminatı yaradıblar. Bütün bunlar qruplaşmanın “AppleJeus” əməliyyatında potensial olaraq böyük bir fayda gördüyündən xəbər verir ki, yaxın gələcəkdə bu cür hücumların sayı arta bilər. Bu, “macOS” istifadəçiləri üçün ciddi bir siqnal olmalıdır, əsasən də əqər onlar öz kompüterlərini kriptovalyutalarla əməliyyatlarda istifadə edirlər”, - deyə “Kaspersky Lab”ın aparıcı antivirus eksperti Seonqsu Park (Seongsu Park) bildirib.