XÜSUSİ DÖVLƏT MÜHAFİZƏ XİDMƏTİ
XÜSUSİ RABİTƏ VƏ İNFORMASİYA
TƏHLÜKƏSİZLİYİ DÖVLƏT AGENTLİYİ

KOMPÜTER İNSİDENTLƏRİNƏ QARŞI MÜBARİZƏ
MƏRKƏZİ

İnsident bildir

Xəbərlər > DİQQƏT!!! The Shadow Brokers -in dərc etdiyi eksploitlər çox təhlükəlidir!

28 Apr 2017

 Qısa arayış
Aprel ayının əvvəllərində The Shadow Brokers adlı xaker qruplaşması uzun müddət yoxluqdan sonra tərkibində Unix-eksploitlər olan yeni dampla yenidən şəbəkəyə qayıtdılar. Xatırlatmaq istərdik ki, ekspertlərin fikrincə bu alətlər nə vaxtsa ABŞ-ın Milli Təhlükəsizlik Agentliyi (NSA) ilə əlaqədə olmuş “Equation Group” xaker qruplaşmasına aid idi.
2017-ci ilin 14 aprelində dərc olunmuş damp “tərcümənin qəlizliyi” adını almışdır. Məsələ orasındadır ki, ötən həftə yerləşdirilən alətlər Unix-sistemləri üçün nəzərdə tutulsa da xaker qruplaşmasının sərəncamında olan Windows eksploitlər də var idi lakin bu dəfə nədənsə o işıq üzü görmədi. Belə ki, “tərcümənin qəlizliyi” tərkibində xüsusilə Windows əməliyyat sistemləri üçün alətlər saxlayır və guya ki, Equation Group SWİFT beynəlxalq bank sistemi ilə əlaqəli xidmət bürosu serverlərinə giriş əldə edərək dünyanın müxtəlif ölkərinin bir sıra maliyyə müəssisələrini gizli şəkildə izləyirmiş.
Artıq tədqiqatçılar dampın tərkibini GitHub –a yükləyiblər və orda olan bütün faylların tam siyahısını dərc ediblər. Beləliklə, yeni arxiv 3 qovluqdan ibarətdir : Windows, Swift və OddJob. Bu qovluqlarda növbəti alətləri tapmaq olar : OddJob, EasyBee, EternalRomance, FuzzBunch, EducatedScholar, EskimoRoll, EclipsedWing, EsteemAudit, EnglishMansDentist, MofConfig, ErraticGopher, EmphasisMine, EmeraldThread, EternalSynergy, EwokFrenzy, ZippyBeer, ExplodingCan, DoublePulsar və s.
OddJob direktoriyasında Windows əməliyyat sistemləri üçün olan eyni adlı implantat vardır, Microsoft mütəxəssisləri bu barədə məlumatlandırılıb və istifadəçilərin təhlükəsizliyi üçün müvafiq addımlar atacaqlar.
Öz növbəsində Swift direktoriyasında eyni adlı verilənlər bazasının daxilində gizli (məxfi) sənədləri, EXCEL və s. faylları axtaran SQL-skript vardır. Əsas olaraq hücumnan Yaxın Şərqin “hökümət xakerləri” zərər çəkiblər.

Yekun

Beləliklə tədqiqatçılar AES-NI şifrələyicisi müəllifinin Twitter vasitəsilə SMBv2 protokolu üçün olan ETERNALBLUE eksploitindən istifadə edə bilməsi haqda öyünməsini aşkar ediblər. ID-Ransomware xidmətinin mütəxəssisləri 17 aprel 2017-ci ildə AES-NI genişlənməsində həqiqətən kəskin sıçrayış baş verdiyini qeyd edirlər. Qeyd olunan günədək 0-5 arası troyan ifşa etmək olurdusa, gözlənilmədən 17 apreldə 100 -ə qalxdı.

Bununla belə mütəxəssislər şifrələyicinin müəllifinin boşluq olan serveri sındırmaq üçün açıq SMB-portlarla ETERNALBLUE eksploitindən istifadə etməsinə şübhə ilə yanaşırlar.
Şifrələyicinin müəllifi nədən istifadə etsə də, artıq Bleeping Computer forumunda və digər resurslarda AES-NI –in yeni qurbanlarından çoxsaylı şikayətlərə rast gəlinir. Məlumdur ki, troyanın mövcud versiyası zərərçəkmişdən 1.5 bitkoin (təxmini 1800 ABŞ dolları) məbləğində pul tələb edir. Bununla yanaşı troyanın yaradıcıları MDB ölkələrindən olan zərərçəkmişlərə məlumatların ödənişsiz deşifrə olunmasına vəd veriblər.