Rus hukumati hakerlari kiberjinoyatchilardan parol sotib olayotgan paytda qo‘lga olindi
0
16
0
Microsoft Kremlga aloqador yangi hakerlik guruhini aniqladi — ular infostealer bozorlaridan o‘g‘irlangan foydalanuvchi nomlari va parollarini kiberjosuslik hujumlarida foydalanish uchun sotib olayotganlikda gumon qilinmoqda.
Microsoft seshanba kuni “Void Blizzard” deb nomlagan, Rossiyaga aloqador yangi josuslik guruhiga oid texnik hujjatlarni e’lon qildi. Kompaniyaning ogohlantirishicha, so‘nggi bir yil davomida bu guruh Yevropa va Shimoliy Amerikadagi hukumat hamda mudofaa pudratchilarining elektron pochta xatlari, fayllari va hattoki Teams chatlarini yashirincha o‘g‘irlab kelgan.
Microsoft Niderlandiya josuslik xizmatlari bilan hamkorlikda e’lon qilgan yangi hisobotda, Redmondning tahdidlarni aniqlovchi jamoasi Kremlga aloqador hakerlar jamoasi kiberjinoyatchilik bozorining arzon segmentiga tayanayotganini ta’kidladi — ya’ni, ular infostealer (ma’lumot o‘g‘irlaydigan zararli dasturlar) bozorlaridan o‘g‘irlangan foydalanuvchi nomlari va parollarini sotib olib, ularni parol purkash (password spraying) hujumlarida ishlatishmoqda.
So‘nggi haftalarda Microsoft bu guruhning ancha murakkab va aniq yo‘naltirilgan “adversary-in-the-middle” (AiTM) turidagi spear-phishing (mo‘ljallangan fishing) usuliga o‘tayotganini kuzatdi. Bu usulda hakerlar Microsoft Entra tizimiga o‘xshash soxta login sahifasini yaratib, xatolik bilan yozilgan domen va zararli QR-kod orqali foydalanuvchilarni soxta Yevropa mudofaa sammitiga taklif qilmoqda.
“Bizning baholashimizga ko‘ra, Void Blizzard ochiq manbali Evilginx platformasidan foydalanib, AiTM phishing hujumlarini amalga oshirmoqda va foydalanuvchi nomi, parol hamda server tomonidan yaratilgan cookie-fayllarni o‘g‘irlash uchun ishlatilmoqda,” — dedi Microsoft. 2017-yilda ommaga taqdim etilgan Evilginx — keng tarqalgan phishing to‘plami bo‘lib, AiTM imkoniyatlariga ega.
Microsoftga ko‘ra, bu texnikalar davlat darajasidagi kiberjosuslik kampaniyalari uchun an’anaviy hisoblanadi, ammo Void Blizzard juda aniq mo‘ljallangan nishonlarga hujum qilmoqda. Jabrlanuvchilar ro‘yxati boshqa Rossiyaga aloqador kiberjosuslar bilan ustma-ust tushadi. Microsoft bu faoliyat Rossiyaning harbiy yoki diplomatik rejalashtirishiga xizmat qiluvchi urushga oid josuslik ma’lumotlarini to‘plashga qaratilgan bo‘lishi mumkinligini aytdi.
Microsoft NATO davlatlari va Ukraina Void Blizzard uchun asosiy nishonlar bo‘lib qolayotganini bildirdi. Kompaniya, xususan, Ukraina aviatsiya agentligi boshqa Rossiyaga aloqador APT (advanced persistent threat) guruhlari tomonidan nishonga olingan bir holatni ta’kidladi — bu esa havoda harakatlanish va aerokosmik tarmoqlarga qaratilgan aniqlashtirilgan hujumlarni ko‘rsatadi.
Microsoftning fikricha, Void Blizzardning asosiy strategiyasi juda oddiy: foydalanuvchi ma’lumotlarini o‘g‘irlash, Exchange yoki SharePoint Online tizimlariga kirish va buzilgan hisob qaydnomalari orqali ko‘rish mumkin bo‘lgan barcha fayllarni avtomatik yuklab olish.
Redmondning tahdidlar josusligi markazi Void Blizzard bilan bog‘liq “butun dunyo bo‘ylab bulut texnologiyalaridan noto‘g‘ri foydalanish holatlari”ni aniqlaganini va bu haker guruhining NATOga a’zo davlatlar hamda Ukraina ittifoqchilarining muhim tarmoqlariga qarshi kuchli faoliyati katta xavf tug‘dirishi haqida ogohlantirdi.
Microsoftning ta’kidlashicha, dastlabki tizimga kirish huquqini qo‘lga kiritgach, hakerlar Exchange Online va Microsoft Graph kabi qonuniy bulut API’laridan foydalangan holda pochta qutilarini, shu jumladan umumiy pochta qutilarini hamda bulutda joylashgan fayllarni aniqlab chiqqan.
“Hisoblar muvaffaqiyatli buzilgach, hakerlar, ehtimol, bulutda saqlanayotgan ma’lumotlarni (asosan elektron pochta va fayllar) va foydalanuvchi kirish huquqiga ega bo‘lgan pochta qutilari yoki fayl jildlarni ommaviy tarzda avtomatik yig‘ishni amalga oshiradi. Bu esa, boshqa foydalanuvchilar tomonidan o‘qish huquqi berilgan pochta qutilari va jildlarni ham o‘z ichiga olishi mumkin,” — deya tushuntirdi Microsoft.
Tasdiqlangan ayrim buzilish holatlarida Microsoft hakerlar Microsoft Teams’ning veb-ilovasi orqali foydalanuvchilarning Teams’dagi suhbat va xabarlarini kuzatganini aniqladi.
Hujjatga ko‘ra, “ba’zi holatlarda bu tahdid soluvchisi zararlangan tashkilotning Microsoft Entra ID sozlamasini AzureHound deb nomlangan ochiq manbali vosita yordamida aniqlagan. Bu orqali ular foydalanuvchilar, rollar, guruhlar, ilovalar va qurilmalar haqidagi ma’lumotlarni qo‘lga kiritgan.”
Microsoft 2024-yil o‘rtalaridan boshlab telekommunikatsiya kompaniyalari, mudofaa sanoati yetkazib beruvchilari, raqamli xizmat ko‘rsatuvchilar, sog‘liqni saqlash va axborot texnologiyalari sohalaridagi tashkilotlarga qarshi “muvaffaqiyatli buzib kirish” holatlarini kuzatib kelayotganini ma’lum qilgan.
