ბოლო Windows zero-day გამოიყენება Buhtrap ბანდის მიერ კიბერ-შპიონაჟისთვის

ბუნდოვანი ჰაკერების ჯგუფი, რომელიც ცნობილია როგორც Buhtrap, რეალურად დგას Windows OS-ის ბოლოდროინდელი ნულოვანი დღის დაუცველობის უკან, რომელიც გამოიყენეს ველურში.

სლოვაკური ანტივირუსული მწარმოებელი ESET, კომპანია, რომელმაც აღმოაჩინა მიმდინარე თავდასხმები, განაცხადა, რომ ნულოვანი დღე გამოიყენებოდა კიბერ-შპიონაჟის ჩასატარებლად.

მაიკროსოფტმა შეასწორა ნულოვანი დღე (CVE-2019-1132) ამ კვირაში, ქ ამ თვის Patch Tuesday განახლებები მატარებელი.

მაგრამ ის, რაც ამ აღმოჩენაში გამოირჩევა, არის თავად სახელი ბუჰტრაპი. ჯგუფი არ არის თქვენი რეგულარული სახელმწიფოს მიერ დაფინანსებული ჰაკერების ეკიპირება, ისევე როგორც უფრო ცნობილი სახელები, როგორიცაა Turla, Fancy Bears, APT33 ან Equation Group.

ჯგუფი იშვიათად გვხვდება და ჩვეულებრივ მონაწილეობს ფინანსური ინსტიტუტების მიმართ ფულის მოპარვის მიზნით.

ბუჰტრაპის მოკლე ისტორია

ბუჰტრაპი პირველად ნახეს კიბერდანაშაულის ლანდშაფტზე 2014 წელს, როდესაც მათ დაიწყეს, როგორც კიბერდანაშაულის ჯგუფების უმეტესობამ რუსული ბიზნესის სამიზნე.

ESET 2015 წლის ანგარიშის მიხედვით.

როდესაც ჯგუფმა გამოცდილება შეიძინა, მათ ასევე მოიპოვეს თავხედობა და ნელ-ნელა დაიწყეს უფრო კარგად დაცულ სამიზნეებზე გადასვლა, როგორიცაა რუსული ბანკები. Symantec-ის მიერ გამოქვეყნებული ანგარიშის მიხედვით.

Group-IB-ის მოხსენებაში ნათქვამია, რომ ჯგუფი წარმოუდგენლად წარმატებული იყო მათი ევოლუციის ამ ეტაპზე და მოახერხა მოიპარეთ 25 მილიონი დოლარი მინიმუმ 13 რუსული ბანკიდან, 2015 წლის აგვისტოდან 2016 წლის თებერვლამდე.

მაგრამ წარმატება დიდხანს არ გაგრძელებულა და ჯგუფის ოპერაციები სერიოზულად დაინგრა 2016 წლის თებერვალში, როდესაც მათი სახელწოდებით Buhtrap backdoor-ის წყაროს კოდი ინტერნეტში გაჟონა.

მას შემდეგ მავნე პროგრამას იყენებდნენ მრავალი ჯგუფი, ოპერაციების ბევრად უფრო ფართო სპექტრში, უფრო მეტს მიზნად ისახავს ბანკებს, მაგალითად, გამოიყენება გაავრცელა გამოსასყიდი პროგრამა მთავარი ონლაინ რეკლამის განმთავსებლის გატეხვის შემდეგ.

მაგრამ დღეს ZDNet-თან გაზიარებულ მოხსენებაში, ESET-ის მკვლევარებმა განაცხადეს, რომ მათ დაინახეს ჯგუფის ტაქტიკის შეცვლა მას შემდეგ. ჯერ კიდევ 2015 წლის დეკემბერში, როდესაც თავდაპირველმა ჯგუფმა ასევე დაიწყო სამთავრობო უწყებების დამიზნება და ინსტიტუტები.

„ყოველთვის რთულია კამპანიის მიკუთვნება კონკრეტულ მსახიობს, როდესაც მათი ინსტრუმენტების წყაროს კოდი თავისუფლად არის ხელმისაწვდომი ინტერნეტში. თუმცა, რადგან სამიზნეების ცვლილება მოხდა წყაროს კოდის გაჟონვამდე, ჩვენ მაღალი დარწმუნებით ვაფასებთ, რომ იგივე ხალხი უკან პირველი Buhtrap malware თავდასხმები ბიზნესისა და ბანკების წინააღმდეგ ასევე ჩართულია სამთავრობო ინსტიტუტების სამიზნეზე,” ESET განაცხადა.

„მიუხედავად იმისა, რომ მათ არსენალს დაემატა ახალი ინსტრუმენტები და განახლებები გამოიყენება უფროსებზე, ტაქტიკა, ტექნიკა და პროცედურები (TTP), რომლებიც გამოიყენება Buhtrap-ის სხვადასხვა კამპანიაში მკვეთრად არ შეცვლილა მთელი ამ წლების განმავლობაში,” მკვლევარები განაცხადა.

ბუჰტრაპს არასოდეს გამოუყენებია ნულოვანი დღე

ESET-ის ბოლო აღმოჩენა Buhtrap-მა Windows zero-day-ის დანერგვა ასევე აღნიშნავს პირველ შემთხვევას, როდესაც ჯგუფმა გამოიყენა რაიმე ნულოვანი დღე მათი თავდასხმებისთვის.

ადრე, Buhtrap-ის ოპერატორები იყენებდნენ ყოფილ ნულოვან დღეებს, რომლებიც შემუშავებული იყო სხვა ჰაკერული ჯგუფების მიერ და დიდი ხნის განმავლობაში შესწორებული იყო იმ დროისთვის, როდესაც მათ ხელში ჩაუვარდათ ექსპლოიტები.

ეს არის პირველი შემთხვევა, როდესაც Buhtrap-ის ოპერატორებმა გამოიყენეს დაუმუშავებელი დაუცველობა - ფაქტობრივი ნულოვანი დღე.

მაგრამ ახლა სხვა კითხვები ჩნდება თავში. მაგალითად, როგორ მოხვდა ჯგუფმა ნულოვანი დღე? ეს ჯერ კიდევ საიდუმლოა, რომელიც უნდა გაიხსნას. გაურკვეველია, მათ თავად განავითარეს იგი თუ იყიდეს ექსპლოიტის ბროკერისგან.

უსაფრთხოების სულ მცირე ორი მკვლევარი თვლის, რომ ნულოვანი დღე სავარაუდოდ შეძენილი იყო.

კასპერსკის კოსტინ რაიუ თვლის, რომ ნულოვანი დღე ჟღერს ტიპიური "პრივილეგიების ამაღლების" დაუცველობას, რომელიც გაყიდულია მიერ ექსპლოიტის ბროკერი, რომელიც ცნობილია როგორც ვოლოდია, რომელმაც წარსულში მიყიდა ნულოვანი დღეები როგორც კიბერდანაშაულის, ასევე ეროვნული სახელმწიფო ჯგუფებისთვის.

ჟღერს ვოლოდიას კიდევ ერთი ექსპლუატაცია, არა?

— კოსტინ რაიუ (@craiu) 2019 წლის 10 ივლისი

მსგავს მოსაზრებას იზიარებს Google Project Zero-ს Tavis Ormandy, თუმცა ის ნულ დღეს არ მიაწერს რაიმე კონკრეტულ ექსპლოიტის ბროკერს.

საინტერესოა, კიდევ ერთი win32k NULL deref ალბათ? როგორც ჩანს, ადამიანები შესაძლოა ყიდიან თავიანთ ძველ ექსპლოიტის ინვენტარს იაფად, რადგან ჩვენ ვეწინააღმდეგებით EOL თარიღს. 🤷‍♂️

— Tavis Ormandy (@taviso) 2019 წლის 9 ივლისი

რაც შეეხება ამ ბოლო Buhtrap კიბერ-შპიონაჟის სამიზნეებს, ESET-ს არ უთქვამს. თუმცა, ბუჰტრაპი ადრე იყო ჩართული კიბერ-ჯაშუშობის ოპერაციებში ქვეყნის მთავრობების წინააღმდეგ აღმოსავლეთ ევროპასა და ცენტრალურ აზიაში მდებარე ქვეყნები - რუსული სახელმწიფოს მიერ დაფინანსებული კლასიკური სანადირო ადგილები ჰაკერები.

მას შემდეგ, რაც ითვლება, რომ ბუჰტრაპი მოქმედებს რუსეთის ფარგლებს გარეთ, ადვილია ყველა სახის დაუსაბუთებელი თეორიის გამომუშავება, როგორიცაა "რუსი". სადაზვერვო სამსახურმა დაიქირავა ბუჰტრაპი მათთვის ჯაშუშობის მიზნით, რათა თვალი დახუჭოს მათ წარსულში რუსული ბანკების ჰაკერებზე." ასეთი თეორიები ბუჰტრაპის შესახებ. ამჟამად არ არის მხარდაჭერილი რაიმე მტკიცებულებით, მაგრამ რუსეთის სადაზვერვო აპარატმა დაიქირავა ჰაკერები თავიანთი ბინძური სამუშაოს შესასრულებლად ადრე -- იხილეთ 2014 Yahoo ჰაკი ან ეს CBS 60 წუთის ეპიზოდი 2019 წლის აპრილიდან.

დაკავშირებული მავნე პროგრამებისა და კიბერდანაშაულის გაშუქება:

• Microsoft აფრთხილებს Astaroth მავნე პროგრამის კამპანიას
• "Silence" ჰაკერებმა დაარტყეს ბანკები ბანგლადეშში, ინდოეთში, შრი-ლანკასა და ყირგიზეთში
• ჰაკერებმა დაარღვიეს საბერძნეთის უმაღლესი დონის დომენის რეგისტრატორი
• ახალი ანდროიდის მავნე პროგრამა ცვლის ლეგიტიმურ აპებს რეკლამებით სავსე დოპელგანგერით
• Pale Moon ამბობს, რომ ჰაკერებმა დაამატეს მავნე პროგრამა ბრაუზერის ძველ ვერსიებს
• ხორვატიის მთავრობა იდუმალი ჰაკერების სამიზნე გახდა
• 3B-ზე მეტი ყალბი ელფოსტა იგზავნება ყოველდღიურად, რადგან ფიშინგის შეტევები გრძელდებაTechRepublic
• Game of Thrones-ს აქვს ყველაზე მეტი მავნე პროგრამა ნებისმიერ მეკობრულ სატელევიზიო შოუშიCNET