Kaspersky mütəxəssisləri BlueNoroff kiberqrupunun dünya üzrə kiçik və orta biznes müəssisələrinə silsilə hücumlarını aşkara çıxarıb. SnatchCrypto adlandırılan hücum kampaniyası kriptovalyuta, smart müqavilələr, DeFi xidmətləri (mərkəzləşdirilməmiş maliyyələt), blokçeyn və fintex sənayesində çalışan təşkilatları hədəf alır. Təcavüzkarlar qurban seçilmiş təşkilatın əməkdaşlarına müqavilə və ya başqa sənəd formasında tam funksional Windows “backdoor”-u (sistemə icazəsiz girişə imkan yaradan alqoritm nöqsanı) göndərərək insan faktoruna köklənirlər. Kriptovalyutanı oğurlamaq üçün, təcavüzkarlar mürəkkəb infrastruktur, eksploytlar və zərərli implantlar hazırlayıblar.

BlueNoroff daha böyük qrup olan Lazarus-un tərkibinə daxildir və onun şaxələndirilmiş infrastrukturu və qabaqcıl texnologiyalarından istifadə edir. Hazırda BlueNoroff kriptovalyuta startaplarına hücumlara köklənib. Bu sahədə çalışan şitkətlərin çoxu təhlükəsizlik sisteminə böyük yatırımlar etməyə meylli deyillər. Təcavüzkarlar bunu bilir və startaplara hücumlar zamanı mürəkkəb sosial mühəndislik sxemlərindən istifadə edirlər. Belə ki, BlueNoroff guya mövcud vençur şitkətlərinin adından yem qismində çıxış edən məktublar göndərir ki, qurbanı məktubdakı əlavəni – makros (məsələn, klaviaturada hər hansı fəaliyyəti avtomatik icra edən tapşırıqlar dəsti) dəstəkli sənədi açmağa məcbur etsin. Kaspersky təhqiqatçıları aşkarlayıblar ki, SnatchCrypto hücum kampaniyası zamanı 15-dən çox vençur şitkətinin ticarət nişanları və əməkdaşlarının adlarından qeyri-qanuni istifadə olunub. Mütəxəssislər əmindirlər ki, real şirkətlərin həm hücumlara, həm də elektron məktublara heç bir aidiyyatı yoxdur. 

MS Word açarkən diqqətli istifadəçi nə isə şübhəli bir şeyin baş verdiyini hiss edə bilər

Əgər makros dəstəkli sənəd internetə qoşulmamış cihazda açılarsa, onun bir təhlükəsi yoxdur. Çox güman ki, o, bir müqavilə və ya digər zərərsiz sənəd şəklində görünəcək. Amma əgər sənəd açılan zaman kompyuterdə internet bağlantısı olarsa, onda qurbanın cihazına makros dəstəkli, zərərli proqram yükləyən digər bir sənəd yüklənəcək. 

BlueNoroff-un arsenalında müxtəlif yoluxdurma üsulları var, hansı ki, təcavüzkarlar tərəfindən şəraitdən asılı olaraq istifadə edilir. Yoluxdurulmuş Word fayllarından başqa, qrup həm də arxiv fayllarda Windows yarlıqlı zərərli proqramlar yayır. Onların köməyilə daha sonra tam funksional “backdoor” yaratmaq mümkündür. Bundan sonra BlueNoroff müşahidə üçün digər zərərli alətləri yerləşdirir: klaviatura casusu və ekran görüntüsünü çəkən proqram. Sonra təcavüzkarlar həftələrlə və ya aylarla klaviaturadakı düymə toxunuşlarını və istifadəçinin gündəlik fəaliyyətlərini izləyir, pulun oğurlanması üçün strategiya hazırlayırlar. Kriptocüzdanları idarə etmək üçün tanınmış brauzer əlavəsindən (məsələn, Metamask)  istifadə edən uyğun potensial qurbanı aşkarladıqda onlar həmin əlavənin əsas komponentini saxta versiya ilə dəyişirlər.

Təhqiqatçıların məlumatına görə, təcavüzkarlar böyük pul köçürmələri haqqında bildirşlər alırlar. İstifadəçi başqa bir hesaba pul köçürmək istəyəndə onlar köçürmə əməliyyatını ələ keçirir  və onu dəyişirlər. Başladılmış əməliyyatı başa çatdırmaq üçün istifadəçi “Təsdiq et” düyməsini sıxdığı anda təcavuzkarlar alıcının ünvanını dəyişir və köçürmə məbləğini maksimuma çatdırırlar, yəni hesabı faktiki olaraq bir hərəkətlə boşaldırlar. 

Hazırda BlueNoroff qrupu aktivdir və müxtəlif ölkələrdəki istifadəçilərə hücum edir

“Təcavüzkarlar daim yeni aldatma yolları tapdıqları üçün, hətta kiçik biznes müəssisələri də öz əməkdaşlarına kibertəhlükəsizliyin əsaslarını öyrətməlidirlər. Əgər şirkət kriptovalyuta ilə işləyirsə, bu, xüsusilə vacibdir. Yadda saxlamaq lazımdır ki, kriptovalyuta xidmətləri və əlavələri kiberqruplar, həm də sıravi dələduzlar üçün cəlbedici hədəfdir, buna görə də, yaxşı müdafiəyə ehtiyac var”, - deyə Kaspersky-nin Təhdidlərin Təhqiqatı və Təhlili üzrə Qlobal Mərkəzinin (GReAT) baş təhqiqatçısı Sonsu Park (Seonsgu Park) bildirib. 

Təşkilatları qorumaq üçün Kaspersky vacib təhlükəsizlik qaydalarına əməl etməyi tövsiyə edir:

• əməkdaşlara kibertəhlükəsizliyin əsaslarını öyrədin, çünki bir çox hədəfli hücumlar fişinq və ya digər sosial mühəndislik metodlarından başlayır;

• müntəzəm olaraq şəbəkələrin kibertəhlükəsizliyinin auditini aparın və perimetrdə və ya şəbəkənin daxilində aşkarlanan bütün zəiflikləri aradan qaldırın;

• Metamask-ı yaxşı bilmirsinizsə, yoluxmuş əlavəni adi qaydada tapmaq mümkün deyil. Bununla belə, Chrome əlavəsinin modifikasiya versiyası özündən sonra iz buraxır: brauzeri mütləq şəkildə istehsalçı rejiminə keçirmək və Metamask əlavəsini onlayn saxlancdan deyil, yerli kataloqdan yükləmək lazımdır. Əgər əlavə onlayn saxlancdan quraşdırılarsa, Chrome şifrənin rəqəmsal imzasının yoxlamasını avtomatik olaraq işə salır və onun bütövlüyünə zəmanət verir. Buna görə də, əgər şübhəniz varsa, Metamask əlavəsini və Chrome tənzimləmələrini elə indi yoxlayın; 

• EDR həlli və mürəkkəb hücumlara qarşı təhdidləri aşkara çıxaran, insidentləri zamanında izləməyə və aradan qaldırmağa imkan verən həll quraşdırın; əməkdaşlara aktual təhdid bazasına SOC (Security Operation Center) giriş hüququ verin və xüsusi təlimlərlə onların bacarıqlarını müntəzəm olaraq inkişaf etdirin.

• son nöqtələrin müdafiəsi ilə yanaşı, mürəkkəb hücumlardan qorunmaq üçün də həllərdən istifadə edin. Kaspersky Managed Detection and Response xidməti hücumu ilkin mərhələlərdə, yəni təcavüzkarlar öz məqsədlərinə çatmamış aşkarlamağa və dayandırmağa kömək edir.