Pokiston hukumati veb-sayti zararli dastur bilan zararlangan
Zararli dastur Pokiston fuqaroligi uchun ariza berish holatini tekshirayotgan foydalanuvchilardan ma’lumotlarni to’playdi.
Noma’lum shaxslar Pokiston hukumati veb-saytini buzib kirishdi va uni keylogger va boshqa zararli dasturlar bilan zararlab, Pokiston fuqaroligi arizalarining holatini tekshirayotgan foydalanuvchilardan ma’lumotlarni to’plashdi. Trustwave tadqiqotchilari gdip.gov.pk veb-saytida Scanbox JavaScript freymvorkini aniqladilar. Xakerlik tadqiqotchilar telemetriya ma’lumotlarida g’ayrioddiy narsani payqaganlarida aniqlandi. Keylogger buzilgan veb-saytga tashrif buyuruvchilarning ma’lumotlarini to’pladi, Scanbox esa brauzer barmoq izlarini va kompyuterga o’rnatilgan dasturlar haqidagi ma’lumotlarni to’pladi. Freymvork IP-manzillarni, OT turi va o’rnatilgan plaginlar haqidagi ma’lumotlarni, foydalanuvchilar buzilgan veb-saytga o’tgan veb-saytlarni va foydalanuvchi-agent satrlarini yozib oldi. Scanbox shuningdek, tizimni eng keng tarqalgan 77 ta antivirus paketlari ro’yxatidan bir yoki bir nechta mahsulotlar uchun skanerladi va qidiruv natijalarini o’zining C&C serverlariga yubordi.
Scanbox axborot xavfsizligi hamjamiyatiga allaqachon ma’lum – FireEye mutaxassislari ilgari bu tizim haqida xabar berishgan va uni APT guruhlari tomonidan qo’llaniladigan vosita deb atashgan. Xususan, u APT 10 dan xitoylik kiberjosuslar tomonidan AQSh Milliy tashqi savdo kengashi a’zolarini nishonga olgan «TradeSecret» operatsiyasi doirasida ishlatilgan.
Tadqiqotchilar buzib kirish haqida buzilgan resurs ma’muriyatiga xabar berishdi, ammo hech qanday javob olishmadi va sayt hali ham virusli bo’lib qolmoqda.
