Blog

Xakerlar Rossiya kompaniyalariga kiberhujumlar uyushtirishda zararli skriptlarni saqlash uchun yordamchi joy sifatida Yandex Disk bulut xizmati resurslaridan foydalanishni boshladi. Ilgari hujumchilar shu kabi sxemalarda OneDrive va Dropbox xizmatlaridan foydalangan.

Mahalliy platformaga o’tish sababi shundaki, korporativ xavfsizlik tizimlari Yandex Diskdan boshqaruv serveri sifatida foydalanadigan zararli dasturlarni aniqlashda qiyinchiliklarga duch kelmoqda. Ko’pgina rus kompaniyalarida u erdan va u erdan trafikka ruxsat berilgan, chunki bu platforma xorijiy echimlarga muqobil ravishda filiallar yoki masofaviy xodimlar bilan hujjatlarni almashish uchun ishlatiladi.

Soha mutaxassislari ommaviy axborot vositalariga jabrlanuvchiga matnli hujjat ilova qilingan elektron pochta xabarini olishini tushuntirdi. Uni ochishga urinayotganda, zararli kutubxonani kompyuterga nusxalash uchun Yandex Diskdan makro yuklab olinadi va ishga tushiriladi. Foydalanuvchi hech narsani sezmaydi, chunki u faqat yuborilgan ochilgan hujjatni ko’radi.

Bunday holda, tajovuzkorlar Yandex Diskdan foydalanish shartlarida banddan foydalanadilar, unda xizmat foydalanuvchilarning bulutli papkalari tarkibini tekshirmaydi, chunki bu ularning maxfiyligini buzadi. Agar kod xotiraga joylashtirilgan bo’lsa, Yandex nima uchun mo’ljallanganligini tekshira olmaydi.

Bunday holda, xakerlar qonuniy trafik niqobi ostida Yandex Disk orqali buyruqlar yuboradilar. Mutaxassislarning fikricha, “buyruqlar ularni ma’lum bir katalogdagi ma’lum nomga ega bo‘lgan, har bir zararlangan xost uchun noyob bo‘lgan fayllarga yozish orqali yuboriladi va buyruqlarga javoblar xuddi shunday tarzda yuboriladi”. Ular foydalanuvchilarga notanish elektron pochta xabarlari va ularga qo’shimchalarni ochmaslikni tavsiya qiladi, chunki hatto xavfsizlik bo’yicha mutaxassislar ham kompyuterda zararli dasturlarni tarqatish uchun makrolar ishga tushirilganligini maxsus vositalar yordamida darhol aniqlay olmaydilar. Ushbu zararli dasturlarni faqat monitoring vositalari yordamida dinamik ravishda aniqlash mumkin, shuningdek, bunday hodisalarni tahlil qilish va blokirovka qilish qobiliyatiga ega korporativ antivirus dasturining so’nggi versiyalari yordamida.

Iyul oyi boshida butun dunyo bo’ylab veb-sayt egalari va ma’murlari soxta kompaniyadan mualliflik huquqining buzilishi haqida soxta shikoyatlar olishni boshladilar, ularda Yandex Forms xizmatidan foydalanadigan va IcedID bank troyanini tarqatish uchun havolalar mavjud. Fishing elektron pochtasida Yandex Forms xizmatidagi arxivga havola mavjud. Uni bosgandan so’ng, foydalanuvchiga dalillar bilan ISO fayli yuklab olishga tayyorligi haqida xabarnoma ko’rsatiladi. Keyin, Yandex Formasi firebasestorage.googleapis.com veb-saytidan o’rnatilgan havoladan foydalanib, Stolen_ImagesEvidence.iso nomli faylni yuklab oladi. ISO fayli ishga tushirilganda tizimda «hujjatlar» papkasi bilan yangi disk paydo bo’ladi, bu aslida rundll32.exe jarayonidan foydalangan holda kengaytirilgan chiziq yordamida zararli DLL faylini ishga tushirish uchun yorliqdir. Ayni paytda tizimga IcedID bank troyan yuklagichi va boshqa zararli dasturlar kiritiladi.

«Yandex Forms hech qachon IcedID zararli dasturini tarqatmagan. Shuningdek, biz shakllarga tashqi havolani bosganida foydalanuvchi uchinchi tomon resursiga o’tishi va Yandex sayt mazmuni uchun javobgar emasligi haqida ogohlantirish qo’shdik», – deb tushuntirdi Yandex vakili Habrga ushbu hodisa haqida.

Manba: Habr