Bu gün koronavirus mövzusu bütün xəbər lentlərini doldurdu və eyni zamanda COVID-19 və onunla əlaqəli hər şeyi istifadə edən təcavüzkarların müxtəlif fəaliyyətlərinin əsas leytmotivinə çevrildi. Bu qeyddə mən bu cür zərərli fəaliyyətin bəzi nümunələrinə diqqət çəkmək istərdim ki, bu, əlbəttə ki, bir çox informasiya təhlükəsizliyi mütəxəssisləri üçün sirr deyil, lakin onların xülasəsi bir qeyddə öz məlumatlılığınızı hazırlamağı asanlaşdıracaq. -bəziləri uzaqdan işləyən, digərləri isə müxtəlif informasiya təhlükəsizliyi təhdidlərinə əvvəlkindən daha həssas olan işçilər üçün tədbirlərin artırılması.
UFO-dan bir dəqiqəlik qayğı
Dünya rəsmi olaraq SARS-CoV-19 koronavirusunun (2-nCoV) yaratdığı potensial ağır kəskin respirator infeksiya olan COVID-2019 pandemiyası elan etdi. Bu mövzuda Habré haqqında çoxlu məlumat var - həmişə unutmayın ki, o, həm etibarlı/faydalı, həm də əksinə ola bilər.
Sizi dərc olunan hər hansı bir məlumatı tənqid etməyə dəvət edirik.
Rəsmi mənbələr
- Regionlar üzrə operativ qərargahların internet saytları və rəsmi qrupları
Əgər Rusiyada yaşamırsınızsa, ölkənizdəki oxşar saytlara müraciət edin.
Əllərinizi yuyun, yaxınlarınızın qayğısına qalın, mümkünsə evdə qalın və uzaqdan işləyin.Haqqında nəşrləri oxuyun: |
Qeyd edək ki, bu gün koronavirusla bağlı tamamilə yeni təhlükələr yoxdur. Daha doğrusu, artıq ənənəvi hala gələn, sadəcə olaraq yeni “sousda” istifadə olunan hücum vektorlarından danışırıq. Beləliklə, mən təhdidlərin əsas növlərini adlandırardım:
- koronavirus və əlaqəli zərərli kodla əlaqəli fişinq saytları və xəbər bülletenləri
- COVID-19 haqqında qorxu və ya natamam məlumatdan istifadə etmək məqsədi daşıyan saxtakarlıq və dezinformasiya
- Koronavirus araşdırması ilə məşğul olan təşkilatlara qarşı hücumlar
Vətəndaşların ənənəvi olaraq hakimiyyət orqanlarına etibar etmədikləri və həqiqəti onlardan gizlətdiklərinə inandıqları Rusiyada fişinq saytlarının və poçt siyahılarının, habelə saxta resursların uğurla “təbliğ edilməsi” ehtimalı daha açıq olan ölkələrlə müqayisədə xeyli yüksəkdir. səlahiyyətlilər. Baxmayaraq ki, bu gün heç kim özünü insanın bütün klassik insan zəif cəhətlərindən - qorxu, şəfqət, tamah və s.-dən istifadə edən yaradıcı kiber fırıldaqçılardan tamamilə qorunmuş hesab edə bilməz.
Məsələn, tibbi maskalar satan saxta saytı götürək.
Bənzər bir sayt olan CoronavirusMedicalkit[.]com ABŞ səlahiyyətliləri tərəfindən mövcud olmayan COVID-19 peyvəndini dərmanı göndərmək üçün "yalnız" poçt haqqı ilə pulsuz payladığına görə bağlandı. Bu halda, belə bir aşağı qiymətlə, ABŞ-da panika şəraitində dərmana tələsik tələbin hesablanması idi.
Bu klassik kiber təhlükə deyil, çünki bu vəziyyətdə təcavüzkarların vəzifəsi istifadəçiləri yoluxdurmaq və ya onların şəxsi məlumatlarını və ya şəxsiyyət məlumatlarını oğurlamaq deyil, sadəcə qorxu dalğasında onları şişirdilmiş qiymətlərlə tibbi maskalar almağa məcbur etməkdir. faktiki maya dəyərini 5-10-30 dəfə üstələyir. Lakin koronavirus mövzusundan istifadə edən saxta veb sayt yaratmaq ideyası kibercinayətkarlar tərəfindən də istifadə olunur. Məsələn, adında “covid19” açar sözünü ehtiva edən, eyni zamanda fişinq saytı olan bir sayt var.
Ümumiyyətlə, hadisələrin araşdırılması xidmətimizin gündəlik monitorinqi , adlarında covid, covid19, coronavirus və s. sözləri olan nə qədər domenin yaradıldığını görürsünüz. Və onların çoxu pis niyyətlidir.
Şirkətin bəzi işçilərinin evdən işə köçürüldüyü və korporativ təhlükəsizlik tədbirləri ilə qorunmadığı bir mühitdə işçilərin mobil və masa üstü cihazlarından bilərəkdən və ya bilmədən daxil olan resurslara nəzarət etmək həmişəkindən daha vacibdir. bilik. Xidmətdən istifadə etmirsinizsə belə domenləri aşkar etmək və bloklamaq (və Cisco bu xidmətə qoşulma indi pulsuzdur), sonra ən azı müvafiq açar sözlərlə domenlərə nəzarət etmək üçün Veb giriş monitorinq həllərinizi konfiqurasiya edin. Eyni zamanda, unutmayın ki, domenləri qara siyahıya salmaq, eləcə də reputasiya verilənlər bazalarından istifadə etmək üçün ənənəvi yanaşma uğursuz ola bilər, çünki zərərli domenlər çox tez yaradılır və bir neçə saatdan çox olmayan müddətə cəmi 1-2 hücumda istifadə olunur. təcavüzkarlar yeni efemer domenlərə keçirlər. İnformasiya təhlükəsizliyi şirkətlərinin sadəcə olaraq öz bilik bazalarını tez yeniləməyə və bütün müştərilərinə yaymağa vaxtı yoxdur.
Təcavüzkarlar fişinq bağlantılarını və əlavələrdə zərərli proqramları yaymaq üçün e-poçt kanalından fəal şəkildə istifadə etməyə davam edir. Və onların effektivliyi kifayət qədər yüksəkdir, çünki istifadəçilər koronavirusla bağlı tamamilə qanuni xəbər poçtlarını alarkən, onların həcmində hər zaman zərərli bir şeyi tanıya bilmirlər. Yoluxmuş insanların sayı getdikcə artsa da, bu cür təhlükələrin dairəsi də yalnız artacaq.
Məsələn, CDC adından fişinq e-poçtunun nümunəsi belə görünür:
Bağlantıdan sonra, əlbəttə ki, CDC veb saytına deyil, qurbanın loqini və şifrəsini oğurlayan saxta səhifəyə səbəb olur:
Ümumdünya Səhiyyə Təşkilatının adından olduğu güman edilən fişinq e-poçtuna bir nümunə:
Və bu nümunədə təcavüzkarlar bir çox insanların səlahiyyətlilərin infeksiyanın əsl miqyasını onlardan gizlətdiyinə inandıqlarına inanırlar və buna görə də istifadəçilər xoşbəxtliklə və demək olar ki, tərəddüd etmədən zərərli bağlantılar və ya əlavələr olan bu tip məktubları klikləyirlər. guya bütün sirləri açacaq.
Yeri gəlmişkən, belə bir sayt var , bu, müxtəlif göstəriciləri izləməyə imkan verir, məsələn, ölüm, siqaret çəkənlərin sayı, müxtəlif ölkələrdəki əhali və s. Saytda koronavirusla bağlı səhifə də var. Martın 16-da oraya getdiyim zaman məndə bir anlıq səlahiyyətlilərin bizə doğru dediyinə şübhə yaradan bir səhifə gördüm (bu rəqəmlərin səbəbinin nə olduğunu bilmirəm, bəlkə də səhvdir):
Təcavüzkarların oxşar e-poçt göndərmək üçün istifadə etdiyi məşhur infrastrukturlardan biri də son zamanların ən təhlükəli və populyar təhdidlərindən biri olan Emotet-dir. E-poçt mesajlarına əlavə edilən Word sənədlərində qurbanın kompüterinə yeni zərərli modullar yükləyən Emotet yükləyiciləri var. Emotet əvvəlcə Yaponiya sakinlərini hədəf alan tibbi maskalar satan fırıldaqçı saytlara keçidləri təşviq etmək üçün istifadə edilmişdir. Aşağıda qum qutusundan istifadə edərək zərərli faylın təhlilinin nəticəsini görürsünüz , faylları zərərlilik üçün təhlil edən.
Lakin təcavüzkarlar təkcə MS Word-də deyil, həm də digər Microsoft proqramlarında, məsələn, MS Excel-də (APT36 haker qrupu belə hərəkət etdi) Hindistan hökumətindən Crimson ehtiva edən koronavirusla mübarizəyə dair tövsiyələr göndərmək qabiliyyətindən istifadə edirlər. SİÇOVUL:
Koronavirus mövzusundan istifadə edən digər zərərli kampaniya Nanocore RAT-dır ki, bu da zərər çəkmiş kompüterlərə uzaqdan giriş, klaviatura vuruşlarını tutmaq, ekran şəkillərini çəkmək, fayllara daxil olmaq və s. üçün proqramlar quraşdırmağa imkan verir.
Və Nanocore RAT adətən e-poçt vasitəsilə çatdırılır. Məsələn, aşağıda icra edilə bilən PIF faylı olan əlavə ZIP arxivi olan nümunə poçt mesajını görürsünüz. İcra olunan fayla klikləməklə, qurban öz kompüterinə uzaqdan giriş proqramını (Remote Access Tool, RAT) quraşdırır.
Və burada COVID-19 mövzusunda bir kampaniya parazitinin başqa bir nümunəsidir. İstifadəçi .pdf.ace uzadılması ilə əlavə edilmiş faktura ilə koronavirus səbəbiylə ehtimal olunan çatdırılma gecikməsi haqqında məktub alır. Sıxılmış arxivin içərisində əlavə əmrlər almaq və təcavüzkarın digər məqsədlərini yerinə yetirmək üçün komanda və idarəetmə serveri ilə əlaqə yaradan icra edilə bilən məzmun var.
Parallax RAT “yeni yoluxmuş CORONAVIRUS sky 03.02.2020/XNUMX/XNUMX.pif” adlı faylı paylayan və DNS protokolu vasitəsilə komanda serveri ilə qarşılıqlı əlaqədə olan zərərli proqramı quraşdıran oxşar funksiyaya malikdir. EDR sinifli mühafizə vasitələri, buna misaldır və ya NGFW komanda serverləri ilə əlaqəni izləməyə kömək edəcək (məsələn, ) və ya DNS monitorinq alətləri (məsələn, ).
Aşağıdakı nümunədə, naməlum səbəblərdən kompüterdə quraşdırılmış adi antivirus proqramının real COVID-19-dan qoruya biləcəyini reklam etmək üçün satın alan qurbanın kompüterinə uzaqdan giriş zərərli proqramı quraşdırılıb. Və nəhayət, kimsə belə görünən zarafat üçün düşdü.
Ancaq zərərli proqramlar arasında həqiqətən qəribə şeylər də var. Məsələn, ransomware işini təqlid edən zarafat faylları. Bir halda, bizim Cisco Talos bölməmiz icra zamanı ekranı bloklayan və taymer işə salan CoronaVirus.exe adlı fayl və “bu kompüterdəki bütün fayl və qovluqların silinməsi - koronavirus” mesajı.
Geri sayma başa çatdıqdan sonra aşağıda yerləşən düymə aktivləşdi və basıldıqda bütün bunların zarafat olduğunu və proqramı bitirmək üçün Alt+F12 düymələrini sıxmağınız lazım olduğunu bildirən aşağıdakı mesaj göstərilir.
Zərərli poçt göndərişlərinə qarşı mübarizə, məsələn, istifadə etməklə avtomatlaşdırıla bilər , bu, yalnız qoşmalarda zərərli məzmunu aşkarlamağa deyil, həm də fişinq bağlantılarını və onlara klikləri izləməyə imkan verir. Ancaq bu vəziyyətdə belə, istifadəçiləri öyrətməyi və müntəzəm olaraq fişinq simulyasiyaları və kiber təlimlər keçirməyi unutmamalısınız ki, bu da istifadəçiləri istifadəçilərinizə qarşı yönəlmiş təcavüzkarların müxtəlif hiylələrinə hazırlayacaqdır. Xüsusilə onlar uzaqdan və şəxsi e-poçt vasitəsilə işləyirlərsə, zərərli kod korporativ və ya departament şəbəkəsinə nüfuz edə bilər. Burada yeni bir həll təklif edə bilərəm , bu, informasiya təhlükəsizliyi məsələləri üzrə kadrlara təkcə mikro və nano-təlimlər keçirməyə deyil, həm də onlar üçün fişinq simulyasiyalarını təşkil etməyə imkan verir.
Ancaq nədənsə bu cür həll yollarından istifadə etməyə hazır deyilsinizsə, onda heç olmasa fişinq təhlükəsi, onun nümunələri və təhlükəsiz davranış qaydaları haqqında xatırlatma ilə işçilərinə müntəzəm poçt göndərişləri təşkil etməyə dəyər (əsas odur ki, təcavüzkarlar özlərini onlar kimi gizlətmirlər). Yeri gəlmişkən, hazırda mümkün risklərdən biri, uzaqdan işləmək üçün yeni qaydalar və prosedurlar, uzaq kompüterlərdə quraşdırılmalı olan məcburi proqram təminatı və s. haqqında danışan rəhbərliyinizdən məktublar kimi maskalanan fişinq poçtlarıdır. Unutmayın ki, e-poçtdan əlavə, kibercinayətkarlar ani messencerlərdən və sosial şəbəkələrdən istifadə edə bilərlər.
Bu cür poçt göndərişi və ya maarifləndirmə proqramına siz eyni zamanda saxta koronavirus infeksiyası xəritəsinin klassik nümunəsini də daxil edə bilərsiniz. Johns Hopkins Universiteti. Fərq o idi ki, fişinq saytına daxil olarkən istifadəçinin kompüterində zərərli proqram quraşdırılıb, istifadəçi hesab məlumatlarını oğurlayıb kibercinayətkarlara göndərib. Belə bir proqramın bir versiyası da qurbanın kompüterinə uzaqdan daxil olmaq üçün RDP əlaqələri yaratdı.
Yeri gəlmişkən, RDP haqqında. Bu, təcavüzkarların koronavirus pandemiyası zamanı daha aktiv istifadə etməyə başladığı başqa bir hücum vektorudur. Bir çox şirkətlər uzaqdan işə keçərkən RDP kimi xidmətlərdən istifadə edirlər ki, bu xidmətlər tələskənlik səbəbindən səhv konfiqurasiya olunarsa, hücumçuların həm uzaq istifadəçi kompüterlərinə, həm də korporativ infrastrukturun içərisinə sızmasına səbəb ola bilər. Üstəlik, düzgün konfiqurasiya ilə belə, müxtəlif RDP tətbiqlərində təcavüzkarlar tərəfindən istifadə edilə bilən zəifliklər ola bilər. Məsələn, Cisco Talos FreeRDP-də çoxsaylı boşluqlar və ötən ilin may ayında Microsoft Uzaqdan Masaüstü xidmətində CVE-2019-0708 kritik boşluq aşkar edilib ki, bu da qurbanın kompüterində ixtiyari kodun icrasına, zərərli proqram təminatının təqdim edilməsinə və s. Hətta onun haqqında xəbər bülleteni də yayılıb , və məsələn, Cisco Talos ondan qorunmaq üçün tövsiyələr.
Koronavirus mövzusunun istismarının başqa bir nümunəsi var - qurbanın ailəsi bitkoinlərlə fidyə ödəməkdən imtina etsələr, onlara yoluxma təhlükəsi. Effekti artırmaq, məktuba əhəmiyyət vermək və qəsbkarın hər şeyə qadirlik hissini yaratmaq üçün məktubun mətninə qurbanın öz hesablarından birindən, ictimai login və şifrələr bazasından əldə etdiyi parol daxil edilib.
Yuxarıdakı nümunələrdən birində mən Ümumdünya Səhiyyə Təşkilatının fişinq mesajını göstərdim. Budur, istifadəçilərdən COVID-19 ilə mübarizə üçün maliyyə yardımı istənildiyi başqa bir nümunədir (baxmayaraq ki, məktubun başlığında “DONATION” sözü dərhal nəzərə çarpır). kriptovalyuta izləmə.
Və bu gün istifadəçilərin şəfqətindən istifadə edən bir çox nümunə var:
Bitcoinlər başqa bir şəkildə COVID-19 ilə əlaqəlidir. Məsələn, evdə oturan və pul qazana bilməyən bir çox Britaniya vətəndaşının aldığı məktublar belə görünür (Rusiyada indi bu da aktual olacaq).
Tanınmış qəzetlər və xəbər saytları kimi maskalanan bu poçt göndərişləri xüsusi saytlarda kriptovalyutaları çıxararaq asan pul təklif edir. Əslində, müəyyən müddətdən sonra sizə bir mesaj gəlir ki, qazandığınız məbləğ xüsusi hesaba çəkilə bilər, lakin buna qədər az miqdarda vergi köçürməlisiniz. Aydın məsələdir ki, fırıldaqçılar bu pulu aldıqdan sonra əvəzində heç nə köçürmürlər və inandırıcı istifadəçi köçürdüyü pulu itirir.
Ümumdünya Səhiyyə Təşkilatı ilə əlaqəli başqa bir təhlükə var. Hakerlər ev istifadəçiləri və kiçik müəssisələr tərəfindən tez-tez istifadə olunan D-Link və Linksys marşrutlaşdırıcılarının DNS parametrlərini sındıraraq onları saxta vebsayta yönləndirmək üçün onları ÜST proqramının quraşdırılması zərurəti barədə xəbərdarlıq edərək onları saxlayacaqlar. Koronavirusla bağlı ən son xəbərlərlə bu günə qədər. Üstəlik, proqramın özündə məlumat oğurlayan zərərli Oski proqramı var idi.
COVID-19 infeksiyasının cari statusunu ehtiva edən tətbiq ilə oxşar ideya ABŞ Təhsil Departamenti, ÜST və Epidemik Nəzarət Mərkəzi tərəfindən guya “sertifikasiya edilmiş” proqram vasitəsilə yayılan Android troyan CovidLock tərəfindən istifadə olunur. XNM).
Bu gün bir çox istifadəçi özünü təcrid vəziyyətindədir və yemək bişirmək istəməyən və ya bacara bilməyən qida, ərzaq məhsulları və ya tualet kağızı kimi digər malların çatdırılması xidmətlərindən fəal şəkildə istifadə edir. Hücumçular da öz məqsədləri üçün bu vektoru mənimsəmişlər. Məsələn, Canada Post-a məxsus qanuni resurs kimi zərərli vebsayt belə görünür. Zərərçəkmişin aldığı SMS-dən gələn link, əlavə ödənilməli olan cəmi 3 dollar olmadığı üçün sifariş edilən məhsulun çatdırıla bilməyəcəyini bildirən vebsayta gətirib çıxarır. Bu halda istifadəçi kredit kartının təfərrüatlarını göstərməli olduğu səhifəyə yönləndirilir... bütün bundan irəli gələn nəticələrlə.
Sonda COVID-19 ilə bağlı kibertəhlükələrə daha iki misal vermək istərdim. Məsələn, “COVID-19 Coronavirus - Live Map WordPress Plugin”, “Coronavirus Spread Prediction Graphs” və ya “Covid-19” plaginləri məşhur WordPress mühərrikindən istifadə etməklə saytlarda qurulub və eyni zamanda virusun yayılma xəritəsini nümayiş etdirir. coronavirus, həmçinin WP-VCD zərərli proqramı ehtiva edir. Onlayn tədbirlərin sayının artması ilə çox məşhurlaşan Zoom şirkəti isə mütəxəssislərin “Zoombombing” adlandırdıqları ilə qarşılaşdı. Hücum edənlər, əslində isə adi porno trollardır, onlayn söhbətlərə və onlayn görüşlərə qoşulub müxtəlif ədəbsiz videolar nümayiş etdiriblər. Yeri gəlmişkən, bu gün Rusiya şirkətləri də oxşar təhlükə ilə üzləşirlər.
Düşünürəm ki, çoxumuz pandemiyanın mövcud vəziyyəti ilə bağlı həm rəsmi, həm də o qədər də rəsmi olmayan müxtəlif mənbələri müntəzəm olaraq yoxlayırıq. Hücumçular bu mövzudan istifadə edərək bizə koronavirusla bağlı “ən son” məlumatları, o cümlədən “hakimiyyətin sizdən gizlətdiyi” məlumatları təklif edirlər. Ancaq hətta adi adi istifadəçilər də bu yaxınlarda tez-tez "tanışlar" və "dostlar" tərəfindən təsdiqlənmiş faktların kodlarını göndərməklə təcavüzkarlara kömək edirlər. Psixoloqlar bildirirlər ki, onların görmə sahəsinə daxil olan hər şeyi (xüsusən də belə təhlükələrdən qorunma mexanizmləri olmayan sosial şəbəkələrdə və messencerlərdə) göndərən “həyəcanlı” istifadəçilərin bu cür fəaliyyəti onlara qarşı mübarizədə iştirak hiss etməyə imkan verir. qlobal təhlükə və hətta dünyanı koronavirusdan xilas edən qəhrəmanlar kimi hiss edirlər. Lakin, təəssüf ki, xüsusi biliyin olmaması ona gətirib çıxarır ki, bu xoş niyyətlər “hamını cəhənnəmə aparır”, yeni kibertəhlükəsizlik təhdidləri yaradır və qurbanların sayını artırır.
Əslində, mən koronavirusla bağlı kiber təhdidlərin nümunələri ilə davam edə bilərdim; Üstəlik, kibercinayətkarlar dayanmır və insan ehtiraslarını istismar etmək üçün getdikcə daha çox yeni üsullar ortaya qoyurlar. Amma düşünürəm ki, biz orada dayana bilərik. Şəkil artıq aydındır və bu, yaxın gələcəkdə vəziyyətin daha da pisləşəcəyini bildirir. Dünən Moskva hakimiyyəti on milyon əhalisi olan şəhəri özünü təcrid vəziyyətinə salıb. Moskva vilayətinin və Rusiyanın bir çox digər regionlarının hakimiyyət orqanları, eləcə də keçmiş postsovet məkanındakı ən yaxın qonşularımız da bunu etdilər. Bu o deməkdir ki, kibercinayətkarların hədəfində olan potensial qurbanların sayı dəfələrlə artacaq. Buna görə də, son vaxtlara qədər yalnız korporativ və ya departament şəbəkəsini qorumağa yönəlmiş təhlükəsizlik strategiyanıza yenidən baxmağa və hansı mühafizə vasitələrinə malik olmamağınızı qiymətləndirməyə deyil, həm də kadrların məlumatlandırılması proqramında verilmiş nümunələri nəzərə almağa dəyər. uzaq işçilər üçün informasiya təhlükəsizliyi sisteminin mühüm hissəsinə çevrilir. A bu işdə sizə kömək etməyə hazırdır!
PS. Bu materialı hazırlayarkən Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security və RiskIQ şirkətlərinin, ABŞ Ədliyyə Nazirliyinin, Bleeping Computer resurslarının, SecurityAffairs və s.-nin materiallarından istifadə olunub.
Mənbə: www.habr.com