Google telekommunikatsiya va hukumatlarni nishonga olgan xitoylik hakerlarni to'xtatdi
2
6
0
UNC2814 muhaddidi kamida 2017-yildan beri faol bo'lib, 42 mamlakatdagi tashkilotlarni nishonga olgan.
Google chorshanba kuni butun dunyo bo‘ylab telekommunikatsiya va davlat tashkilotlarini nishonga olgan, Xitoy bilan bog‘liq yirik kiberjosuslik kampaniyasini izdan chiqarganini e’lon qildi.
Googlening Threat Intelligence Group (GTIG) va Mandiant ushbu tahdid guruhi UNC2814 nomida faoliyat yuritganini aniqladi va kamida 2017-yildan buyon faol ekanini ma’lum qildi. Ushbu hodisa so‘nggi yillarda aniqlangan eng keng qamrovli va eng katta ta’sirga ega kampaniyalardan biri sifatida tavsiflanmoqda.
Google ma’lumotiga ko‘ra, bu yashirin tahdid guruhi Amerika qit’asi, Osiyo va Afrikadagi 42 mamlakatda kamida 53 ta tashkilotni nishonga olgan. Shuningdek, kiberjosuslar kamida yana 20 ta davlatni ham nishonga olgan bo‘lishi mumkinligi taxmin qilinmoqda.
Texnologiya giganti shunday tushuntirdi: “Hujumchi SaaS ilovalari bilan aloqa qilish uchun API chaqiruvlaridan buyruq va boshqaruv (C2) infratuzilmasi sifatida foydalangan. Bu zararli trafikni oddiy, xavfsiz trafik sifatida ko‘rsatib yashirishga xizmat qiladi va tahdid guruhlari hujumlarini yanada sezilmas qilishga urinayotganda tez-tez qo‘llaydigan usullardan biridir. Zaiflik yoki xavfsizlik nuqsonidan foydalanish o‘rniga, hujumchilar bulutda joylashgan mahsulotlarning odatdagidek to‘g‘ri ishlashiga tayanib, o‘zlarining zararli trafiklarini qonuniydek ko‘rsatadi.”
Tahdid guruhi GridTide nomli yangi bakdordan foydalangan. U qobiq (shell) buyruqlarini bajarish, shuningdek fayllarni yuklash va yuklab olish imkonini beradi.
Google izohiga ko‘ra: “Bu bakdor Google Sheetsdan yuqori ishonchlilikka ega C2 platformasi sifatida foydalanadi. Jadval hujjat sifatida emas, balki oddiy ma’lumotlar va shell (qobiq) buyruqlarini uzatish uchun aloqa kanali sifatida ishlatiladi.”
Kompaniya tadqiqotchilari GridTideni shaxsiy ma’lumotlar - ism-shariflar, tug‘ilgan sanalar, telefon raqamlari, saylovchi IDlari va milliy IDlar saqlangan endpointda aniqlagan. Bunday turdagi ma’lumotlarning nishonga olinishi hakerlar qiziqish uyg‘otgan shaxslarni kuzatish va monitoring qilishga uringan bo‘lishi mumkinligini ko‘rsatadi.
“GTIG ushbu kampaniya davomida UNC2814 tomonidan sezgir ma’lumotlarning to‘g‘ridan-to‘g‘ri tashqariga chiqarilganini (eksfiltratsiya) kuzatmadi. Biroq, avvalroq XXR (Xitoy Xalq Respublikasi) bilan bog‘liq kiberjosuslik hujumlari telekommunikatsiya sohasida qo‘ng‘iroqlar yozuvlarining o‘g‘irlanishi, shifrlanmagan SMS xabarlar qo‘lga kiritilishi hamda qonuniy tinglash (lawful intercept) tizimlarining buzilishi va suiiste’mol qilinishiga olib kelgan.” dedi Google.
Xitoy bilan bog‘liq tahdid guruhi tomonidan telekom kompaniyalarining nishonga olinishi Salt Typhoon nomi bilan tanilgan guruh faoliyatini eslatadi. Biroq Googlening qayd etishicha, Salt Typhoon va UNC2814 o‘rtasida hech qanday o‘xshashlik yoki uyg'unlik aniqlanmagan.
UNC2814 kampaniyasini izdan chiqarish
UNC2814 kampaniyasini to‘xtatish maqsadida GTIG, Mandiant va ularning hamkorlari GridTide zararli dasturi foydalangan bulut manbalarini yo‘q qildi.
Shuningdek, kiberjosuslik amaliyotiga aloqador barcha infratuzilma ishdan chiqarildi. Bunga joriy va avval ishlatilgan domenlarni sinkhole qilish orqali zararlangan muhitlarga kirishni uzish ham kiradi.
Bundan tashqari, hakerlar foydalangan hisoblar (jumladan, buyruq va boshqaruv - C&C uchun ishlatilgan Google Cloud hisoblari) bloklandi hamda zararli dastur foydalangan Google Sheets muhitlariga kirish to‘xtatildi.
Jabrlangan tomonlar xabardor qilindi va hodisaga javob berish (incident response) bo‘yicha yordam ko‘rsatildi. Google, shuningdek, tashkilotlarga GridTide va UNC2814 bilan bog‘liq boshqa faoliyatni aniqlashga yordam beruvchi IoC (Indicators of Compromise) ko‘rsatkichlarini e’lon qildi.
Google ushbu chora-tadbirlar UNC2814ning global miqyosdagi faoliyatini kengaytirish urinishlariga jiddiy zarba berishidan umidvor.
