Blog

Kiberjosuslik kampaniyasi ancha uzoq vaqtdan beri davom etmoqda va ilgari xabar qilinganidan ko’ra ko’proq tashkilotlarga ta’sir ko’rsatmoqda.

Global kiberjosuslik operatsiyasi «Sharpshooter» avval o’ylanganidan ancha kattaroq va murakkabroq ekanligi isbotlandi. Bu xulosaga tadqiqotchilar zararli kampaniyada ishlatilgan buyruq va boshqaruv serveridan olingan kod va boshqa ma’lumotlarni batafsil tahlil qilishdan so’ng kelishdi. McAfee birinchi marta «Sharpshooter» operatsiyasi haqida o’tgan yilning dekabr oyida xabar bergan edi. Tadqiqotchilarning fikriga ko’ra, kiberjinoyatchilar mudofaa sektori tashkilotlari va muhim infratuzilma tarmoqlarini yuqtirish uchun ilgari noma’lum bo’lgan tizimdan foydalanmoqdalar.

McAfee kompaniyasining dastlabki hisobotiga ko’ra, hujumlar 2018-yil 25-oktabrda boshlangan va 87 ta tashkilotga ta’sir ko’rsatgan (ularning 50% Qo’shma Shtatlarda bo’lgan). Biroq, tadqiqotchilar o’tgan hafta oxirida San-Fransiskoda bo’lib o’tgan RSA 2019 konferensiyasida xabar berganlaridek, kampaniya ancha uzoq davom etdi va ko’plab boshqa tashkilotlarga ta’sir ko’rsatdi.

C&C serverini batafsil tekshirish mutaxassislarga ilgari noma’lum bo’lgan yana bir nechta C&C markazlarini aniqlash imkonini berdi. Ushbu serverlardan kelib chiqqan holda, «Sharpshooter» operatsiyasi 2017-yil sentabr oyida boshlangan va ilgari xabar qilinganidan ko’ra ko’proq kompaniyalarga ta’sir ko’rsatgan. So’nggi hujumlarning aksariyati Germaniya, Buyuk Britaniya, Turkiya va AQShdagi tashkilotlarga qaratilgan edi. «Sharpshooter» operatsiyasi hozirda davom etmoqda.

Hujum jabrlanuvchi Dropbox orqali zararli makroslarni o’z ichiga olgan hujjatni olganida boshlanadi. Makroslar faollashtirilgandan so’ng, o’rnatilgan shellcode Microsoft Word xotirasiga yuklanadi va ikkinchi bosqich zararli dasturi uchun yuklovchi vazifasini bajaradi. Hujumchilar ikkinchi bosqich zararli dasturi sifatida Rising Sun modulli orqa eshikdan foydalanadilar.