PseudoManuscrypt: Hukumat va sanoat sektoriga qarshi keng ko’lamdagi josus dasturlar kampaniyasi amalga oshirildi Shu hafta Kasperskiy laboratoriyasi yangi PseudoManuscrypt josuslik dasturini tekshirish natijalari bo’yicha o’z hisobotini e’lon qildi.

PseudoManuscrypt: Hukumat va sanoat sektoriga qarshi keng ko’lamdagi josus dasturlar kampaniyasi amalga oshirildi

 Shu hafta Kasperskiy laboratoriyasi yangi PseudoManuscrypt josuslik dasturini tekshirish natijalari bo’yicha o’z hisobotini e’lon qildi.

Laboratoriya ma’lumotlariga ko’ra, 2021-yilning yanvaridan noyabriga qadar 195 mamlakatda 35 mingdan ziyod qurilmalar, jumladan Avtomatlashtirilgan boshqaruv tizimlari (ABT) yangi PseudoManuscrypt josuslik dasturi hujumiga uchragan.

Zararli faoliyat Kasperskiy laboratoriyasi mutaxassislari tomonidan aniqlangan, uning yuklanuvchi dasturi, Shimoliy Koreya mudofaa sohasidagi obyektlarga hujum qilishda foydalanilgan Lazarus APT guruhi arsenalining bir qismi bo’lgan Manuscrypt zararli dasturiga biroz o’xshaydi.

Boshqa tomondan, zararli dastur o’zining buyruq va boshqaruv serveriga ulanish uchun KCP protokolidan foydalanishi ma’lum bo’ldi, bu amalda kamdan-kam uchraydigan holat hisoblanadi, bunday holat bungacha faqat Xitoy bilan bog’liq bo’lgan APT41 buzg’unchi guruhining sanoat tashkilotlariga hujumlarida uchragan edi.

Bundan tashqari, zararli dastur namunalarida xitoy tilidagi izohlar ham mavjud bo’lib, Xitoyning Baidu bulutli saqlash omborlariga ulanishlar aniqlangan.

PseudoManuscrypt keng ko’lamdagi josuslik funksiyalarini qo’llab-quvvatlaydi: VPN ma’lumotlarini o’g’irlaydi, klavishlar bosishlarini tutib oladi, ekrandagi ma'lumotlarni yozib oladi, mikrofondan audio yozib oladi, ma’lumotlarni almashish buferi va OS voqealar jurnalidan nusxa ko’chiradi.

U litsenziyasiz dasturiy ta’minot tarqatish orqali, jumladan, ICS dasturiy ta’minoti bilan bog’liq arxivlar orqali tarqatiladi

Mutaxassislarning aniqlashicha, PseudoManuscrypt zararli dasturiy taʼminotidan zarar koʻrgan barcha tizimlarning kamida 7,2 foizi mashinasozlik, binolarni avtomatlashtirish, energetika, sanoat, qurilish, kommunal va suv taʼminoti sohalarida ishlab chiqarishni boshqarish tizimlari tarkibiga kiradi. Harbiy sanoat korxonalari va ilmiy-tadqiqot institutlari ham jabrlanganlar qatoridan joy olgan. Shu bilan birga, ko’p hollarda tajovuzkorlar modellashtirish va muhandislik tadqiqotlari uchun ishlatiladigan xostlarga qiziqish bildirishgan, bu esa tadqiqotchilarni sanoat josusligi bo’lishi mumkin degan fikrga olib keldi.

Shu bilan birga, hujumlarning nishonlari juda keng ko’lamdaligi hukumatga qarshi ART guruhlarga xos emasligini ta’kidlash joiz. Ushbu kampaniya tomonidan nishonga olingan ABT qo’llanilmagan qurilmalarning deyarli uchdan bir qismi, Rossiya (10,1%), Hindiston (10%) va Braziliyaga (9,3%) to’g’ri keladi, ABT qurilmalarda esa nishonlarning eng katta foizi Hindiston, Vetnam va Rossiyada kuzatilgan.

Shuni ta'kidlash kerakki, Kaspersky mutaxassislari quyidagi xulosaga kelishdi:

Hujum qilingan tizimlar soni juda ko'p va biz sanoat tashkilotlariga aniq e'tiborni ko'rmayapmiz. Biroq, butun dunyo bo'ylab juda ko'p sonli ABT kompyuterlari (bizning telemetriyamizdan kelib chiqqan holda, ko'p yuzlab - va aslida, ehtimol yana ko'p bo'ladi) ushbu kampaniya davomida hujumga uchraganligi, shubhasiz, uni bizning diqqatimizni jalb qilishimiz kerak bo'lgan tahdidga aylantiradi.

Hujum qilingan ko’plab muhandislik kompyuterlari, shu jumladan 3D va jismoniy modellashtirish, raqamli egizaklarni ishlab chiqish va ishlatish uchun ishlatiladigan tizimlar kampaniyaning mumkin bo’lgan maqsadlaridan biri sifatida sanoat josusligi masalasini ko’taradi.

Shuningdek, kompaniya yuqoridagi holatlarning oldini olish uchun bir nechta takliflarni e’lon qildi:

- barcha serverlar va ishchi stantsiyalariga so’nggi nuqta xavfsizligi dasturini o’rnating, uning uchun markazlashtirilgan xavfsizlik siyosatini boshqarish yoqilganligini (oxirgi foydalanuvchi ma’muriyati huquqlarisiz) va xavfsizlik yechimining ma’lumotlar bazalari va dasturiy ta’minot modullarini doimiy ravishda yangilanishini ta’minlang;

- Barcha tizimlarda oxirgi nuqtani himoya qilish komponentlari yoqilganligiga ishonch hosil qiling va himoyani o’chirishga urinishlar bo’lsa, administrator parolini kiritishni talab qiluvchi siyosat mavjudligiga ishonch hosil qiling.

- Active Directory siyosatlarida foydalanuvchining tizimga kirishga urinishlariga cheklovlar mavjudligiga ishonch hosil qiling. Foydalanuvchilarga tizimga faqat o’z vazifalarini bajarish uchun kirishlari kerak bo’lgan tizimlarga kirishga ruxsat berilishi kerak;

- OT tarmog’idagi tizimlar orasidagi tarmoq ulanishlarini, shu jumladan VPNni cheklash; ishning uzluksizligi va xavfsizligi uchun foydalanish talab etilmaydigan barcha portlardagi ulanishlarni bloklash;

- VPN ulanishini o’rnatishda ikkinchi autentifikatsiya omili sifatida smart-kartalar (tokenlar) yoki bir martalik kodlardan foydalaning. Agar kerak bo’lsa, VPN ulanishini boshlash mumkin bo’lgan IP manzillar ro’yxatini cheklash uchun Access Control List (ACL) texnologiyasidan foydalaning;

- korxona xodimlarini Internet, elektron pochta va boshqa aloqa kanallaridan xavfsiz foydalanishga o’rgatish, xususan, tekshirilmagan manbalardan fayllarni yuklab olish va bajarishning mumkin bo’lgan oqibatlarini tushuntirish;

- tizim administratori va domen administratori huquqlariga ega profillardan faqat rasmiy vazifalarni bajarish zarur bo’lganda foydalanish;

- dasturlarning SeDebugPrivilege imtiyozlarini olish imkoniyatini cheklash (iloji bo’lsa);

- parol murakkabligini talab qiluvchi va parolni muntazam ravishda o’zgartirishni talab qiluvchi parol siyosatini amalga oshirish;

- xavfsizlik bo’yicha mutaxassislarning yuqori darajadagi bilim va tajribasiga tezkor kirish uchun boshqariladigan aniqlash va javob berish Managed Detection and Response xizmatlaridan foydalanishni ko’rib chiqing;

- Sanoat so’nggi nuqtalarini himoya qilish va zararli faoliyatni aniqlash, blokirovka qilish uchun OT tarmog’ining monitoringini yoqish uchun ishlab chiqarish tizimlari uchun maxsus himoyadan foydalaning.