2021-ci ilin əvvəlində kiber cinayətkarlar Cring kriptoqraf proqramınından istifadə edərək bir sıra hücumlar həyata keçirib. Bu hücumlardan Swisscom CSIRT-dəki tədqiqatçılar bəhs edirdilər, lakin bu proqramın təşkilatlar şəbəkəsinə necə daxil olduğu tam olaraq məlum deyildi. Kaspersky ICS CERT mütəxəssisləri tərəfindən hücuma məruz qalan müəssisələrdən birində baş verən hadisənin istintaqı nəticəsində məlum oldu ki, Cring kriptoqrafının hücumlarında VPN serverlərindəki bir zəiflikdən istifadə edilib. Avropa ölkələrindəki sənaye müəssisələri də zərər çəkmişlər arasında idi və kriptoqraf proqramının hücumu nəticəsində baş ofisi Almaniyada yerləşən beynəlxalq bir sənaye holdinqinin İtaliyadakı iki fabrikində istehsalın müvəqqəti olaraq dayandırılmasına gətirib çıxarmışdı.
Hadisənin Kaspersky ICS CERT mütəxəssisləri tərəfindən aparılan araşdırması göstərdi ki, Cring kriptoqrafı ilə həyata keçirilmiş bir sıra hücumlarda təcavüzkarlar müəssisə şəbəkəsinə ilk girişi əldə etmək üçün Fortigate VPN serverlərindəki CVE-2018-13379 zəifliyini istismar ediblər. Zəiflik identifikasiyası olmayan bir təcavüzkarın cihaza qoşulmasına və istifadəçi adı və şifrəsini açıq şəkildə ehtiva edən bir seans faylına uzaqdan daxil olmasına imkan verir. Məsələ 2019-cu ildə istehsalçı tərəfindən həll edilib, lakin hələ də bütün cihaz sahibləri öz cihazlarını yeniləməyib. 2020-ci ilin payızında qaranlıq vebdəki (dark web) forumlarda qorunmasız cihazların IP adreslər bazasının satışı üzrə təklifləri görünməyə başlayıb.
Araşdırma zamanı o da məlum oldu ki, hücumun əsas mərhələsinin başlamasına bir müddət qalmış, təcavüzkarlar VPN serverinə hücum zamanı oğurlanan identifikasiya məlumatlarının hələ də aktual olduğundan əmin olmaq üçün VPN şlüzü ilə test bağlantısı yaradıblar. Hücum günü korporativ şəbəkədəki ilk sistemə giriş əldə edərək, Cring operatorları Windows istifadəçi hesablarını oğurlamaq üçün əvvəllər də qorunmasız kompüterə daxil olmuş Mimikatz utilitindən istifadə ediblər. Onun köməyi ilə təcavüzkarlar domen administratorunun hesab məlumatlarını dərhal oğurlaya biliblər.
Qısa bir kəşfiyyatdan sonra təcavüzkarlar sənaye müəssisəsinin fəaliyyəti üçün vacib hesab etdikləri bir neçə sistemi seçib və dərhal onların üzərinə Cring kriptoqrafı ilə hücuma keçiblər.
Təcavüzün sxemi
Mütəxəssislərin fikrincə, hücuma məruz qalan sistemlərdəki antivirus bazalarının və istifadə olunan təhlükəsizlik həlli üçün proqram modullarının vaxtında yenilənməməsi də həmin həllin təhdidi vaxtında aşkarlamasına və onu bloklanmasına mane olaraq, hücumun uğurlu olmasında əsas rollardan birini oynayıb. Hücum zamanı antivirus həllinin bəzi komponentləri deaktiv edilib və bu da sistemin qorunma keyfiyyətini aşağı salıb.
“Hücumun müxtəlif təfərrüatları göstərir ki, təcavüzkarlar təşkilatın infrastrukturunu diqqətlə öyrənib və daha sonra kəşfiyyat mərhələsində toplanan məlumatlar əsasında alətlər dəstini hazırlayıblar. Məsələn, təcavüzkarların skriptləri, müəssisədə istifadə olunan təhlükəsizlik həllinə qarşı zərərli proqramın fəaliyyətini maskalayıb və şifrələmə üçün seçilmiş sistemlərdə istifadə olunan məlumat bazası serverlərinin (Microsoft SQL Server) və ehtiyat nüsxələmə sistemlərinin (Veeam) fəaliyyətini dayandırıb. Təcavüzkarların fəaliyyətinin təhlili göstərir ki, hücuma məruz qalan təşkilatın şəbəkəsinin öyrənilməsi nəticəsində şifrələmə üçün, təcavuzkarların fikrincə, müəssisənin fəaliyyətinə maksimum zərər verə biləcək serverlər seçilib”, – deyə Kaspersky ICS CERT-in baş mütəxəssisi Vyaçeslav Kopeytsev bildirib.
Araşdırma haqqında daha ətraflı məlumatı Kaspersky ICS CERT saytından əldə edə bilərsiniz.
Sistemi Crin kriptoqrafından qorumaq üçün Kaspersky mütəxəssisləri aşağıdakıları tövsiyə edir:
- VPN şlüzü proqramını həmişə ən son versiyalaradək yeniləyin;
- son nöqtələrin və məlumat bazalarını qorumaq üçün həlləri hər zaman daim ən son versiyalaradək yeniləyin;
- son nöqtələrin qorunması üçün bütün təhlükəsizlik həlləri modullarının istehsalçının tövsiyələrinə uyğun olaraq hər zaman aktiv olduğundan əmin olun;
- Active Directory siyasətlərinin istifadəçilərin yalnız iş səbəbilə daxil ola biləcəkləri sistemlərə daxil olmasına icazə verdiyindən əmin olun;
- obyektlər arasında VPN girişini məhdudlaşdırın və texnoloji proseslərin icrası üçün vacib olmayan bütün portları bağlayın;
- ehtiyat nüsxəsini ayrıca bir serverdə saxlaya bilmək üçün ehtiyat nüsxələmə sistemini müvafiq şəkildə quraşdırın;
- təşkilatın potensial kriptoqraf hücumlarına qarşı davamlılığını daha da artırmaq üçün, həm korporativ, həm də sənaye şəbəkələrində Endpoint Detection and Response sinfindən olan təhlükəsizlik həllərinin tətbiq edilməsinin mümkünlüyünü nəzərdən keçirin;
- Managed Detection and Response sinfindən olan xidmətləri yüksək səviyyəli biliklərə və peşəkar kiber təhlükəsizlik mütəxəssislərinin təcrübələrinə sürətli giriş əldə etmək üçün uyğunlaşdırın;
- sənaye prosesləri üçün xüsusi qorunma həllindən istifadə edin. Kaspersky Industrial CyberSecurity son cihazları qoruyur və sənaye şəbəkələrinin şəbəkə monitorinqinə zərərli fəaliyyəti aşkarlamaq və onun qarşısını almaq imkanı verir.