Չափազանց բարդ վնասաբեր գրոհին զոհ է դարձել մեկ մլն օգտատեր. Ահազանգում է «Կասպերսկի»-ն

Հասարակություն 10:38 07/11/2023 Տարածաշրջան

«Կասպերսկի» ընկերության փորձագետները հայտնաբերել են նախկինում անհայտ և չափազանց բարդ վնասաբեր գրոհ, որն ստացել է StripedFly անվանումը: 2017-ից ի վեր դրա զոհ է դարձել ավելի քան մեկ միլիոն օգտատեր ամբողջ աշխարհում, այժմ այն շարունակվում է, թեև ոչ այդքան ակտիվ։ Երկար ժամանակ ենթադրվում էր, որ վնասաբերը սովորական կրիպտոմայներ է, բայց ավելի ուշ պարզվեց, որ դա բարդ ծրագիր է՝ բազմաֆունկցիոնալ աշխատունակ ֆրեյմվորկով։

2022-ին «Կասպերսկի» ընկերության Սպառնալիքների հետազոտության և վերլուծության գլոբալ կենտրոնի (Global Research and Analysis Team-GReAT) փորձագետները հայտնաբերել են այդ վնասաբեր ծրագրի օգտագործմամբ երկու նոր միջադեպ։ Դրանք կապված են եղել Windows-ի wininit.exe համակարգային գործընթացի հետ։ Այս գործընթացում հայտնաբերվել է կոդի հաջորդականություն, որը նախկինում օգտագործվել է Equation վնասաբեր ծրագրում: Ու թեև հայտնաբերված նմուշների ակտիվությունը շարունակվել է առնվազն 2017-ից, այն անմիջապես մանրակրկիտ չի ուսումնասիրվել նախնական վերլուծության փուլում, քանի որ սկզբում այն սխալմամբ համարել են սովորական կրիպտոմայներ։ Համակողմանի ուսումնասիրությունից հետո պարզվել է, որ կրիպտոմայներն ավելի բարդ, բազմաթիվ պլագիններով բազմահարթակ կառուցվածքի միայն մի մասն է:

Հայտնաբերված վնասաբեր ԾԱ-ի բազմաթիվ մոդուլներ թույլ են տալիս չարագործներին օգտագործել այն APT-գրոհների շրջանակում, ինչպես նաև որպես կրիպտոմայներ կամ նույնիսկ շորթիչ: Ըստ այդմ, էականորեն ընդլայնվում է չարագործների հնարավոր դրդապատճառների ցանկը՝ ֆինանսական օգուտ քաղելուց մինչև լրտեսություն։

Չարագործներն ունեն զոհերին գաղտնի լրտեսելու բազմաթիվ հնարավորություններ։ Վնասաբեր ԾԱ-ն հաշվառման տվյալներ է հավաքում է երկու ժամը մեկ. դրանք կարող են լինել կայք մուտք գործելու կամ Wi-Fi-ին միանալու մուտքանուններ և գաղտնաբառեր, կամ մարդու անձնական տվյալները, ներառյալ՝ անունը, հասցեն, հեռախոսահամարը, աշխատանքի վայրը և պաշտոնը: Բացի այդ, վնասաբեր ծրագիրը կարող է աննկատ կատարել զոհի սարքի էկրանի արտապատկերում, ստանալ դրա լիակատար վերահսկողություն և նույնիսկ գրանցել ձայնային տվյալները խոսափողից:

Համակարգչի առաջնային վարակման աղբյուրը երկար ժամանակ անհայտ է մնացել։ «Կասպերսկի» ընկերության հետագա հետազոտությունը ցույց է տվել, որ չարագործները դրա համար օգտագործում են EternalBlue «SMBv1» էքսպլոյտի սեփական տարբերակը։ EternalBlue խոցելիությունը հայտնաբերվել է դեռ 2017 թվականին, ինչից հետո Microsoft-ը թողարկել է շտկում (MS17-010): Այնուամենայնիվ, սպառնալիքը դեռ արդիական է, քանի որ ոչ բոլոր օգտատերերն են թարմացնում համակարգը:

Տեքստում սխալ կամ վրիպակ նկատելու դեպքում, ուղարկեք խմբագրին հաղորդագրություն` նշելով տվյալ սխալը, այնուհետև սեղմելով Ctrl-Enter: