StripedFly: күрделі коды және тыңшылықмүмкіндіктері бар майнер-құрт

«Касперский зертханасының» сарапшыларыStripedFly деп аталатын бұрын белгісіз және өтекүрделі зиянды шабуылды тапты. 2017 жылданбастап бүкіл әлем бойынша миллионнан астамқолданушы оның құрбаны болды, қазір ол аз белсенді болса да жалғасуда. Ұзақ уақыт бойызиянды бағдарлама кәдімгі криптомайнер депболжанған, бірақ кейінірек бұл көп қызметті, жұмыс істейтін құрылымы бар күрделібағдарлама екендігі анықталды. Бұл туралы«Касперский Зертханасының» зерттеушілеріSecurity Analyst Summit-те айтты.

2022 жылы «Касперский зертханасы» Жаһандыққатерді зерттеу және талдау орталығының (GlobalResearch and Аnalysis Team-GReAT) сарапшылары осы зиянкесті қолдану арқылы екіжаңа оқиғаны анықтады. Олар Windowsжүйесінде wininit.exe жүйелік процесіменбайланысты болды. Бұл процесте бұрын Equationзиянды БЖ-да қолданылған код тізбегі табылды. Табылған үлгілердің белсенділігі кем дегенде2017 жылдан бері жалғасып келе жатқанымен — ол алдын ала талдау кезеңінде бірден мұқиятзерттелмеген, өйткені оны бастапқыда кәдімгікриптомайнер деп қателескен. Жан — жақтызерттеуден кейін криптомайнер көптегенплагиндері бар күрделі мультиплатформалыққұрылымның бір бөлігі ғана екені анықталды.

ЗБЖ-да табылған көптеген модульдершабуылдаушыларға оны APT шабуылдарыаясында, сондай-ақ криптомайнер немесе тіптібопсалаушы-бағдарлама ретінде пайдалануғамүмкіндік береді. Тиісінше, зиянкестердіңықтимал себептерінің тізімі қаржылық пайдатабудан тыңшылыққа дейін айтарлықтайкеңейеді. Бір қызығы, зиянды модуль арқылыалынған Monero криптовалютасының құны 2018 жылдың 9 қаңтарында $542,33 жетті. Салыстыруүшін, 2017 жылы оның бағасы шамамен $10 болды. Қазір, 2023 жылы криптовалютаның құны$150 деңгейінде тұр. «Касперский зертханасының» сарапшылары майнинг модуліұзақ уақыт бойы зиянды БЖ-ны толық анықтайалмаған негізгі фактор екенін атап көрсетеді.

Зиянкестердің жәбірленушілерге жасырынтыңшылық жасау үшін көптеген мүмкіндіктері бар. Зиянды БЖ екі сағат сайын есептік деректерінжинайды: бұл веб-сайтқа кіру немесе WiFi—ғақосылу үшін логиндер мен құпиясөздер немесеадамның жеке деректері, соның ішінде аты-жөні, мекен-жайы, телефон нөмірі, жұмыс орны жәнелауазымы болуы мүмкін. Сонымен қатар, зиянкесжәбірленушінің құрылғысынан скриншоттардыбілдірмей түсіре алады, оны толық бақылауғаалады және тіпті микрофоннан дауыстықдеректерді жаза алады.

Компьютердің бастапқы жұқтыру көзі ұзақ уақытбойы белгісіз болып қалды. «Касперский Зертханасының» одан әрі зерттеуі зиянкестербұл үшін EternalBlue «SMBv1» эксплойтын өздерііске асыратынын көрсетті. EternalBlue осалдығы2017 жылы анықталды, содан кейін Microsoftкомпаниясы түзетуді (MS 17-010) шығарды. Дегенмен, қауіп әлі де өзекті, өйткені барлықпайдаланушылар жүйені жаңарта бермейді.

Науқанды техникалық талдау барысында«Касперский зертханасының» сарапшыларыЕquation зиянды БЖ-мен ұқсастықтарды тапты. Мұны техникалық индикаторлар, соның ішіндеқолтаңбалар, бағдарламалау стилі, сондай-ақStraitBizzare зиянды БЖ-да (SBZ) қолданылғанғаұқсас әдістер көрсетті. Жүктеу есептегішіненалынған мәліметтерге сүйенсек, StripedFly — діңмақсаты бүкіл әлем бойынша миллионнан астамқолданушы болды.

«Бұл фреймворкты құруға жұмсалған күш-жігердің мөлшері шынымен де әсерлі. Киберқауіпсіздік саласындағы мамандары үшінбасты қиындық — шабуылдаушылар үнемі өзгеріпотыратын жағдайларға бейімделетіні болып табылады. Сондықтан біз, зерттеушілер үшінкүрделі киберқауіптерді анықтау бойынша күш — жігерді біріктіру маңызды, ал клиенттер үшінкибершабуылдардан кешенді қорғау туралыұмытпау керек», — деп түсіндірді «Касперский Зертханасының» киберқауіпсіздік жөніндегісарапшысы Сергей Ложкин.

Зиянкестердің мақсатты шабуылдарынан қорғануүшін «Касперский зертханасының» мамандарымыналарды ұсынады: