Kaspersky tədqiqatçıları aşkar ediblər ki, çindilli “LuoYu” kiberqrupu “WinDealer” zərərli proqram təminatını yaymaq üçün “kənardan müdaxilə” (man-on-the-side) tipli hücumlar həyata keçirməyə qadirdirlər. Bu hücumlar ən çox resursa malik olan bir neçə təcavüzkar üçün əlçatandır və bu zaman zərərli proqramlar qurbanın qanuni şəbəkə trafikinə daxil edilir. Şirkətin əsas hədəfləri xarici diplomatik təşkilatlar, elmi ictimaiyyətin üzvləri, həmçinin Çindəki müdafiə, logistika və telekommunikasiya şirkətləridir. Almaniya, Avstriya, ABŞ, Çexiya, Rusiya və Hindistan da bu hücumlardan zərər çəkib.
“Kənardan müdaxilə” (man-on-the-side) hücumu bu cür baş verir: təcavüzkar şəbəkədəki müəyyən bir resursa qoşulmaq üçün sorğuları görür. Bu, məlumatların ələ keçirilməsi və ya internet xidməti provayderinin şəbəkəsindəki strateji mövqeyə görə baş verir. Sonra o, qurbana qanuni serverdən daha sürətli cavab verir və tələb olunan faylın yoluxmuş versiyasını göndərir. Təcavüzkarlar ilk dəfə uğursuz olsalar belə, casus proqramları yükləyərək əksər cihazları yoluxdurana qədər cəhd etməyə davam edirlər. Bu proqramların köməyilə cihazda saxlanan istənilən fayla baxa və onları yükləyə, həmçinin açar sözlər üzrə axtarış edilə bilər.
Bu paylama üsuluna əlavə olaraq WinDealer daha bir maraqlı xüsusiyyətə malikdir. Çox vaxt zərərli proqram sərt şəkildə kodlaşdırılmış əmr və idarəetmə serverini ehtiva edir. İnformasiya təhlükəsizliyi üzrə mütəxəssis belə bir serverin ünvanını əldə edibsə, bu zaman onu bloklaya və təhlükəni zərərsizləşdirə bilər. WinDealer isə IP ünvanlar yaratmaq üçün alqoritmdən istifadə edir və sonra 48.000 ünvan arasından hansı ilə server kimi işləyəcəyini seçir. Aydındır ki, operatorlar bu qədər sayda serverə nəzarət edə bilməzlər. Ehtimal olunur ki, təcavüzkarlar ya yaradılan IP ünvanları ilə trafiki ələ keçirə (çox güman ki, provayderin şəbəkəsindəki strateji mövqe elə bu deməkdir) və ya əslində yalnız bir neçə ünvana nəzarət edərək zərərli proqramın onlara çatmasını gözləyə bilər. Birinci halda, bu tip hücumlardan qorunmağın yolu trafiki başqa şəbəkə vasitəsilə yönləndirməkdir. Bunu VPN vasitəsilə etmək olar, lakin bu üsul həmişə mümkün olmur.
“2019-cu ildə bu qrup yoluxmuş veb saytlar vasitəsilə zərərli proqramlar yayıb. Deyə bilərik ki, 2021-ci ilə qədər onlar şəbəkə trafikini qurbanlara qədər manipulyasiya edə bilən bir neçə nəfərdən ibarət kluba qoşulublar. Qanuni proqramların yoluxmuş paylayıcılarından əlavə, bu, çoxlu sayda yaradılan variantlar arasından idarəetmə serverinin şəbəkə ünvanının seçilməsi ilə də özünü göstərir,” deyə Kaspersky-nin aparıcı kibertəhlükəsizlik mütəxəssisi Denis Legezo qeyd edib. “Müdafiə nöqteyi-nəzərindən istifadəçilər yadda saxlamalıdırlar ki, HTTPS trafikinin daxil edilməsi daha çətindir və əgər şəbəkə operatoruna etibar yoxdursa və hər hansı bir səbəbədən VPN seçimi mövcud deyilsə, ən azından şifrələnməmiş HTTP protokolundan istifadə edərək skriptləri və proqramları yükləməməlisiniz. Paylayıcıları yükləməzdən əvvəl saytın yalnız səhifələri deyil, həm də faylları şifrələdiyini yoxlayın”.
WinDealer kimi mürəkkəb təhlükədən qorunmaq üçün Kaspersky şirkətlərə tövsiyə edir:
- şəbəkələrin kibertəhlükəsizliyini yoxlamaq və aşkar edilmiş bütün zəiflikləri aradan qaldırmaq;
- inkişaf etmiş hədəfli hücumlarla mübarizə aparmaq üçün EDR həlli və məhsulundan istifadə etmək, həmçinin monitorinq mərkəzinin (SOC) əməkdaşlarının ən son analitik məlumatlar bazasına çıxışını təmin etmək və peşəkar təlimlər vasitəsilə mütəmadi olaraq onların bacarıqlarını təkmilləşdirmək. Bu funksiyalar Kaspersky Expert Security paketinin tərkib hissəsi kimi mövcuddur;
- ən inkişaf etmiş hücumlardan qorunmaq üçün son cihazların müdafiəsi üzrə həllər və ixtisaslaşmış xidmətlər tətbiq etmək. Kaspersky Managed Detection and Response xidməti sizə hücumu ilkin mərhələdə, hücumçular məqsədlərinə çatmazdan əvvəl tanımağa və dayandırmağa imkan verir;
- məsələn, Threat Intelligence Resource Hub kimi qlobal mənbələrdən daim yenilənən məlumatlara pulsuz girişi təmin edən xidmətlər vasitəsilə yeni təhdidlərin meydana çıxmasını izləyin.