Өнөөдрийн коронавирусын сэдэв нь бүх мэдээллийн сувгийг дүүргэж, мөн COVID-19 болон үүнтэй холбоотой бүх зүйлийг ашиглан халдагчдын янз бүрийн үйл ажиллагааны гол лейтмотив болжээ. Энэхүү тэмдэглэлд би ийм хортой үйл ажиллагааны зарим жишээнд анхаарлаа хандуулахыг хүсч байна, энэ нь мэдээжийн хэрэг мэдээллийн аюулгүй байдлын олон мэргэжилтнүүдийн хувьд нууц биш боловч нэг тэмдэглэлд хураангуйлах нь таны мэдлэгийг бэлтгэхэд хялбар болно. -Зарим нь алсаас ажилладаг, зарим нь мэдээллийн аюулгүй байдлын янз бүрийн аюулд өмнөхөөсөө илүү өртөмтгий байдаг ажилтнуудад зориулсан арга хэмжээг нэмэгдүүлэх.
Нисдэг биетээс нэг минутын тусламж
Дэлхий нийтээр SARS-CoV-19 коронавирүс (2-nCoV)-ын улмаас үүссэн амьсгалын замын цочмог халдвар болох COVID-2019-ийн цар тахлыг албан ёсоор зарлалаа. Энэ сэдвээр Хабрегийн талаар маш их мэдээлэл байдаг - энэ нь найдвартай/ашигтай, эсрэгээр аль аль нь байж болохыг үргэлж санаарай.
Нийтлэгдсэн аливаа мэдээлэлд шүүмжлэлтэй хандахыг уриалж байна.
Албан ёсны эх сурвалж
ОХУ-ын Эрүүл мэндийн яамны вэбсайт Роспотребнадзорын вэбсайт ДЭМБ-ын вэбсайт (Англи хэл) ДЭМБ-ын вэбсайт - Бүс нутаг дахь шуурхай штабуудын вэбсайтууд болон албан ёсны бүлгүүд
Хэрэв та ОХУ-д амьдардаггүй бол өөрийн улсын ижил төстэй сайтууд руу хандана уу.
Гараа угааж, хайртай хүмүүсээ халамжилж, боломжтой бол гэртээ байж, алсаас ажилла.Энэ тухай нийтлэлүүдийг уншина уу:
Коронавирус |алсын ажил
Өнөөдөр коронавирустай холбоотой цоо шинэ аюул байхгүй гэдгийг тэмдэглэх нь зүйтэй. Үүний оронд бид аль хэдийн уламжлалт болсон, зүгээр л шинэ "соус" -д ашигладаг халдлагын векторуудын тухай ярьж байна. Тиймээс би аюулын гол төрлүүдийг нэрлэх болно:
- коронавирус болон холбогдох хортой кодтой холбоотой фишинг сайтууд болон мэдээллийн товхимол
- Коронавируст халдвар (COVID-19)-ын талаарх бүрэн бус мэдээлэл эсвэл айдсыг ашиглахад чиглэсэн залилан мэхлэлт, худал мэдээлэл
- коронавирусын судалгаанд оролцдог байгууллагуудын эсрэг халдлага
Иргэд нь эрх баригчдад итгэдэггүй, тэднээс үнэнийг нууж байна гэж итгэдэг Орос улсад фишинг сайтууд, захидлын жагсаалт, хуурамч эх сурвалжийг амжилттай "сурталчлах" магадлал илүү нээлттэй улс орнуудтай харьцуулахад хамаагүй өндөр байна. эрх баригчид. Хэдийгээр хүний бүх сонгодог сул тал болох айдас, өрөвч сэтгэл, шунал гэх мэтийг ашигладаг бүтээлч кибер луйварчдаас өнөөдөр хэн ч өөрсдийгөө бүрэн хамгаалагдсан гэж үзэж чадахгүй.
Жишээлбэл, эмнэлгийн маск зардаг залилангийн сайтыг авч үзье.
Үүнтэй төстэй CoronavirusMedicalkit[.]com сайтыг АНУ-ын эрх баригчид одоогоор байхгүй COVID-19 вакциныг "зөвхөн" шуудангийн төлбөртэйгээр үнэгүй тарааж, эмийг тээвэрлэх зорилгоор хаасан байна. Энэ тохиолдолд ийм хямд үнээр АНУ-ын үймээн самуунтай нөхцөлд эмийн яаралтай эрэлт хэрэгцээг тооцоолсон.
Энэ нь сонгодог кибер аюул биш, учир нь энэ тохиолдолд халдагчдын даалгавар бол хэрэглэгчдэд халдварлах, тэдний хувийн мэдээлэл, таних мэдээллийг хулгайлах биш, харин зүгээр л айдасны давалгаан дээр тэднийг салгаж, өндөр үнээр эмнэлгийн маск худалдаж авах явдал юм. бодит өртгөөс 5-10-30 дахин их. Гэхдээ коронавирусын сэдвийг ашиглан хуурамч вэбсайт үүсгэх санааг кибер гэмт хэрэгтнүүд бас ашиглаж байна. Жишээлбэл, нэр нь "covid19" гэсэн түлхүүр үг агуулсан сайтыг бас фишинг сайт юм.
Ерөнхийдөө манай ослын мөрдөн байцаалтын албанд өдөр бүр хяналт тавьдаг
Компанийн зарим ажилчдыг гэрээсээ ажил руу шилжүүлж, корпорацийн аюулгүй байдлын арга хэмжээ авахгүй байгаа нөхцөлд ажилчдын гар утас болон ширээний төхөөрөмжөөс мэдээлэл олж авах боломжтой эсэхийг мэдэх нь урьд өмнөхөөс илүү чухал юм. мэдлэг. Хэрэв та үйлчилгээг ашиглаагүй бол
Халдагчид хавсралт дахь фишинг холбоос болон хортой програмыг түгээхийн тулд цахим шуудангийн сувгийг идэвхтэй ашигласаар байна. Хэрэглэгчид коронавирусын талаар бүрэн хууль ёсны мэдээ хүлээн авахдаа тэдний эзлэхүүн дэх хортой зүйлийг үргэлж таньж чаддаггүй тул тэдний үр нөлөө нэлээд өндөр байна. Халдвар авсан хүмүүсийн тоо улам бүр нэмэгдэж байгаа ч ийм аюулын хүрээ улам бүр нэмэгдэх болно.
Жишээлбэл, CDC-ийн нэрийн өмнөөс фишинг цахим шуудангийн жишээ иймэрхүү харагдаж байна:
Мэдээжийн хэрэг, линкийг дагаснаар CDC-ийн вэбсайт руу орохгүй, харин хохирогчийн нэвтрэх болон нууц үгийг хулгайлсан хуурамч хуудас руу орох болно.
Дэлхийн эрүүл мэндийн байгууллагын нэрийн өмнөөс фишинг цахим шуудангийн жишээг энд үзүүлэв.
Мөн энэ жишээн дээр халдагчид эрх баригчид халдварын жинхэнэ цар хүрээг тэднээс нууж байна гэж олон хүн итгэж байгаа тул хэрэглэгчид аз жаргалтай, бараг эргэлзэлгүйгээр хорлонтой холбоос эсвэл хавсралт бүхий эдгээр төрлийн захидал дээр дардаг гэдэгт найдаж байна. бүх нууцыг илчлэх болно.
Дашрамд хэлэхэд ийм сайт байдаг
Халдагчид ижил төстэй имэйл илгээхэд ашигладаг түгээмэл дэд бүтцийн нэг бол сүүлийн үеийн хамгийн аюултай бөгөөд түгээмэл аюулуудын нэг болох Emotet юм. Имэйл зурваст хавсаргасан Word баримтууд нь хохирогчийн компьютерт шинэ хортой модулиудыг ачаалдаг Emotet татаж авагчдыг агуулдаг. Эмотетийг анх Японы оршин суугчдад чиглэсэн эмнэлгийн маск зардаг хуурамч вэбсайтуудын холбоосыг сурталчлах зорилгоор ашиглаж байжээ. Та хамгаалагдсан хязгаарлагдмал орчин ашиглан хортой файлд дүн шинжилгээ хийсний үр дүнг доороос харж болно
Гэхдээ халдагчид зөвхөн MS Word дээр төдийгүй Microsoft-ын бусад програмууд, жишээлбэл, MS Excel дээр (APT36 хакерын бүлэг ингэж ажилласан) ашиглах боломжийг ашигладаг бөгөөд Энэтхэгийн засгийн газраас Crimson агуулсан коронавирустай тэмцэх зөвлөмжийг илгээдэг. Хулгана:
Коронавирусын сэдвийг ашигладаг өөр нэг хортой кампанит ажил бол Nanocore RAT бөгөөд энэ нь хохирогчийн компьютер дээр алсаас хандах, гарын цохилтыг таслах, дэлгэцийн зураг авах, файлд хандах гэх мэт програмуудыг суулгах боломжийг олгодог.
Мөн Nanocore RAT нь ихэвчлэн цахим шуудангаар ирдэг. Жишээлбэл, доороос та PIF файлыг агуулсан хавсаргасан ZIP архив бүхий имэйл мессежийн жишээг харж байна. Гүйцэтгэх боломжтой файл дээр дарснаар хохирогч компьютер дээрээ алсаас хандах програм (Remote Access Tool, RAT) суулгадаг.
Энд COVID-19 сэдвээр кампанит ажилд шимэгчдийн өөр нэг жишээ байна. Хэрэглэгч .pdf.ace өргөтгөлтэй нэхэмжлэхийн хамт коронавирусын улмаас хүргэлтийн саатал гарсан тухай захидал хүлээн авдаг. Шахсан архивын дотор нэмэлт тушаалуудыг хүлээн авах, халдагчийн бусад зорилгыг хэрэгжүүлэхийн тулд команд болон хяналтын сервертэй холболтыг бий болгодог гүйцэтгэх контент байдаг.
Parallax RAT нь "шинэ халдвар авсан CORONAVIRUS sky 03.02.2020/XNUMX/XNUMX.pif" нэртэй файлыг түгээдэг, DNS протоколоор дамжуулан командын сервертэй нь харьцдаг хортой програм суулгадаг ижил төстэй ажиллагаатай. EDR ангиллын хамгаалалтын хэрэгсэл, үүний нэг жишээ юм
Доорх жишээнд, тодорхойгүй шалтгаанаар компьютер дээр суулгасан ердийн вирусны эсрэг програм нь жинхэнэ COVID-19-ээс хамгаалж чадна гэж зар сурталчилгаанд хамрагдсан хохирогчийн компьютер дээр алсаас нэвтрэх хортой програм суулгасан байна. Эцсийн эцэст хэн нэгэн ийм онигоонд автсан.
Гэхдээ хортой програмуудын дунд үнэхээр хачирхалтай зүйлүүд бас байдаг. Жишээлбэл, ransomware-ийн ажлыг дуурайдаг хошигнол файлууд. Нэг тохиолдолд манай Cisco Talos хэлтэс
Тооцоолол дуусмагц доод талын товчлуур идэвхжсэн бөгөөд дарахад энэ бүхэн хошигнол байсан бөгөөд та Alt+F12 товчийг дарж програмаа дуусгах хэрэгтэй гэсэн мессеж гарч ирэв.
Хортой шуудангийн эсрэг тэмцлийг автоматжуулж болно, жишээлбэл, ашиглан
Гэхдээ ямар нэг шалтгааны улмаас та ийм шийдлүүдийг ашиглахад бэлэн биш байгаа бол фишингийн аюул, түүний жишээ, аюулгүй байдлын дүрмийн жагсаалт бүхий ажилтнууддаа тогтмол шуудан илгээх нь зүйтэй (хамгийн гол нь Халдлага үйлдэгчид өөрсдийнхөө дүрд хувирдаггүй). Дашрамд хэлэхэд, одоогийн байдлаар гарч болзошгүй эрсдэлүүдийн нэг бол алсын зайнаас ажиллах шинэ дүрэм, журам, алсын компьютерт заавал суулгах шаардлагатай програм хангамж гэх мэтийн тухай өгүүлсэн таны удирдлагын захидлын дүрд хувирсан фишинг шуудангууд юм. Цахим гэмт хэрэгтнүүд цахим шуудангаас гадна шуурхай мессенжер болон нийгмийн сүлжээг ашиглаж болно гэдгийг бүү мартаарай.
Энэ төрлийн шуудангаар илгээх эсвэл мэдлэгийг дээшлүүлэх хөтөлбөрт та мөн адил хуурамч коронавирусын халдварын газрын зургийн аль хэдийн сонгодог жишээг оруулж болно.
Дашрамд хэлэхэд, RDP-ийн тухай. Энэ бол коронавирусын тахлын үед халдагчид илүү идэвхтэй ашиглаж эхэлсэн өөр нэг халдлагын вектор юм. Олон компаниуд алсын зайн ажилд шилжихдээ RDP зэрэг үйлчилгээг ашигладаг бөгөөд хэрэв яаравчлан буруу тохируулсан бол халдагчид алсын хэрэглэгчийн компьютер болон байгууллагын дэд бүтцэд нэвтэрч ороход хүргэдэг. Түүнээс гадна, зөв тохируулгатай байсан ч гэсэн янз бүрийн RDP хэрэгжүүлэлтүүд нь халдагчид ашиглаж болох сул талуудтай байж болно. Жишээлбэл, Cisco Talos
Коронавирусын сэдвийг ашиглах өөр нэг жишээ бий - хохирогчийн ар гэрийнхэн биткойноор золиослохоос татгалзвал халдвар авах бодит аюул. Үр нөлөөг нэмэгдүүлэх, захидлын утга учрыг өгөх, дээрэмчний бүхнийг чадагч гэсэн мэдрэмжийг бий болгохын тулд захидлын текстэнд хохирогчийн нэр, нууц үгийн олон нийтийн мэдээллийн сангаас олж авсан түүний дансны нууц үгийг оруулсан болно.
Дээрх жишээнүүдийн нэгэнд би Дэлхийн Эрүүл Мэндийн Байгууллагын фишинг мессежийг харуулсан. Хэрэглэгчээс COVID-19-тэй тэмцэхийн тулд санхүүгийн тусламж хүсч байгаа өөр нэг жишээ энд байна (хэдийгээр захидлын гарчигт “ХАНДИВАЛ” гэсэн үг шууд анзаарагддаг). cryptocurrency хянах.
Өнөөдөр хэрэглэгчдийн энэрэн нигүүлслийг ашигласан ийм олон жишээ бий:
Биткойн нь COVID-19-тэй өөр байдлаар холбоотой. Жишээлбэл, гэртээ суугаад мөнгө олж чадахгүй байгаа Британийн олон иргэдийн хүлээн авсан захидал ийм харагдаж байна (Оросын хувьд энэ нь одоо хамааралтай болно).
Алдартай сонин, мэдээллийн сайтын дүрд хувирсан эдгээр шуудангууд нь тусгай сайтууд дээр криптовалют олборлох замаар хялбар мөнгө олох боломжийг санал болгодог. Уг нь тодорхой хугацааны дараа таны олсон мөнгөө тусгай данс руу шилжүүлж болно гэсэн мессеж ирдэг ч түүнээс өмнө бага хэмжээний татвар шилжүүлэх шаардлагатай. Энэ мөнгийг авсны дараа луйварчид хариуд нь юу ч шилжүүлэхгүй, итгэмтгий хэрэглэгч шилжүүлсэн мөнгөө алддаг нь ойлгомжтой.
Дэлхийн эрүүл мэндийн байгууллагатай холбоотой өөр нэг аюул бий. Хакерууд гэрийн хэрэглэгчид болон жижиг бизнес эрхлэгчдийн ихэвчлэн ашигладаг D-Link болон Linksys чиглүүлэгчийн DNS тохиргоог хакердаж, ДЭМБ-ын программыг суулгах шаардлагатай гэсэн анхааруулга бүхий хуурамч вэб сайт руу дахин чиглүүлэхийн тулд тэдгээрийг хадгалах болно. коронавирусын талаарх хамгийн сүүлийн үеийн мэдээг хүртэл. Түүгээр ч барахгүй уг программ нь мэдээлэл хулгайлдаг Oski хортой программыг агуулж байжээ.
COVID-19 халдварын одоогийн статусыг агуулсан програмтай ижил төстэй санааг АНУ-ын Боловсролын яам, ДЭМБ, Эпидемийн хяналтын төвөөс "баталгаажуулсан" програмаар дамжуулан түгээдэг Android Trojan CovidLock ашигладаг. CDC).
Өнөөдөр олон хэрэглэгчид бие даан тусгаарлагдсан бөгөөд хоол хийх хүсэлгүй эсвэл боломжгүй тохиолдолд хоол хүнс, хүнсний бүтээгдэхүүн, ариун цэврийн цаас зэрэг бусад барааг хүргэх үйлчилгээг идэвхтэй ашигладаг. Халдлага үйлдэгчид мөн энэ векторыг өөрсдийн зорилгоор эзэмшсэн. Жишээлбэл, Canada Post-ын эзэмшдэг хууль ёсны эх сурвалжтай төстэй хортой вэб сайт нь иймэрхүү харагдаж байна. Хохирогчийн хүлээн авсан SMS-ийн холбоос нь зөвхөн 3 доллар дутуу байгаа тул захиалсан бүтээгдэхүүнийг хүргэх боломжгүй, нэмэлт төлбөр төлөх ёстой гэсэн вэбсайт руу хөтөлдөг. Энэ тохиолдолд хэрэглэгч өөрийн зээлийн картын дэлгэрэнгүй мэдээллийг зааж өгөх ёстой хуудас руу чиглүүлдэг ... бүх үр дагавартай.
Эцэст нь хэлэхэд, би COVID-19-тэй холбоотой кибер аюулын талаар өөр хоёр жишээ хэлмээр байна. Жишээлбэл, "COVID-19 Coronavirus - Live Map WordPress Plugin", "Коронавирусын тархалтыг урьдчилан таамаглах график" эсвэл "Ковид-19" залгаасууд нь алдартай WordPress хөдөлгүүрийг ашиглан сайтуудад суурилагдсан бөгөөд вирусын тархалтын газрын зургийг харуулахын зэрэгцээ. коронавирус нь WP-VCD хортой программ агуулдаг. Онлайн арга хэмжээнүүдийн тоо өссөнөөр маш их алдартай болсон Zoom компани мэргэжилтнүүдийн "Zoombombing" гэж нэрлэсэн зүйлтэй тулгарсан. Халдлага үйлдэгчид, гэхдээ үнэн хэрэгтээ энгийн порно троллууд онлайн чат, онлайн уулзалтад холбогдож, янз бүрийн садар самуун видеог үзүүлжээ. Дашрамд хэлэхэд үүнтэй төстэй аюул өнөөдөр Оросын компаниудад тулгарч байна.
Бидний ихэнх нь тахлын өнөөгийн байдлын талаар албан ёсны болон албан ёсны бус янз бүрийн эх сурвалжуудыг тогтмол шалгаж байдаг гэж би бодож байна. Халдагчид энэ сэдвийг ашиглаж, коронавирусын талаарх "хамгийн сүүлийн үеийн" мэдээлэл, тэр дундаа "эрх баригчид чамаас нууж байгаа" мэдээллийг санал болгож байна. Гэхдээ жирийн хэрэглэгчид хүртэл сүүлийн үед "танил", "найзууд"-аас баталгаажуулсан баримтын кодыг илгээж халдагчид тусалж байсан. Сэтгэл судлаачид өөрсдийн харааны талбарт ирсэн бүх зүйлийг (ялангуяа ийм аюулаас хамгаалах механизмгүй олон нийтийн сүлжээ, мессенжерт) илгээдэг "түгшүүртэй" хэрэглэгчдийн ийм үйл ажиллагаа нь тэдэнд эсрэг тэмцэлд оролцож байгаагаа мэдрэх боломжийг олгодог гэж үздэг. Дэлхий дахинд аюул заналхийлж, тэр байтугай дэлхийг коронавирусаас аварч буй баатрууд шиг санагддаг. Гэвч харамсалтай нь тусгай мэдлэг дутмаг нь эдгээр сайн санаанууд нь "бүгдийг там руу хөтөлж", кибер аюулгүй байдлын шинэ заналхийллийг бий болгож, хохирогчдын тоог нэмэгдүүлэхэд хүргэдэг.
Үнэндээ би коронавирустай холбоотой кибер аюул заналхийллийн жишээг үргэлжлүүлж болно; Түүгээр ч барахгүй кибер гэмт хэрэгтнүүд зогсонги байдалд ордоггүй бөгөөд хүний хүсэл тэмүүллийг ашиглах шинэ аргуудыг олдог. Гэхдээ бид үүгээр зогсох боломжтой гэж бодож байна. Энэ дүр зураг аль хэдийн тодорхой болсон бөгөөд ойрын ирээдүйд байдал улам дордох болно гэдгийг бидэнд хэлж байна. Өчигдөр Москвагийн эрх баригчид арван сая хүн амтай хотыг тусгаарлан тусгаарлав. Москва муж болон ОХУ-ын бусад олон бүс нутгийн эрх баригчид, мөн хуучин Зөвлөлтийн дараах орон зай дахь манай хамгийн ойрын хөршүүд ч мөн ийм үйлдэл хийсэн. Энэ нь цахим гэмт хэрэгтнүүдэд өртөж болзошгүй хохирогчдын тоо хэд дахин нэмэгдэнэ гэсэн үг. Тиймээс, саяхан болтол зөвхөн корпорацийн болон хэлтсийн сүлжээг хамгаалахад чиглэгдсэн аюулгүй байдлын стратегиа эргэн харж, танд ямар хамгаалалтын хэрэгсэл дутагдаж байгааг үнэлээд зогсохгүй, ажилтнуудынхаа мэдлэгийг дээшлүүлэх хөтөлбөрт өгсөн жишээнүүдийг харгалзан үзэх нь зүйтэй юм. алслагдсан ажилчдын мэдээллийн аюулгүй байдлын системийн чухал хэсэг болж байна. А
Жич. Энэхүү материалыг бэлтгэхдээ Cisco Talos, Naked Security, Anti-Phishing, Malwarebytes Lab, ZoneAlarm, Reason Security болон RiskIQ компаниуд, АНУ-ын Хууль зүйн яам, Bleeping Computer нөөц, SecurityAffair гэх мэтийн материалыг ашигласан.
Эх сурвалж: www.habr.com