ХАКЕР МЕХАНИЗМ: Монголын 430 гаруй төрийн байгууллагын дотоод систем рүү нэвтэрсэн НЭГ БУС БҮЛГЭМ бий

“ESET” компанийн судлаачид Монголын 430 гаруй төрийн байгууллага ашигладаг “Able” системээр дамжуулж Хятадын “LuckyMouse” бүлгэм халдлага үйлдсэнийг тогтоожээ. Тэд хакер ертөнцөд ашиглагддаг HyperBro backdoor, Korplug RAT, Tmanger RAT, ShadowPad backdoor гэгддэг төрлийн дайралтуудыг хийсэн аж.

Төрийн байгууллагуудын дотоод харилцах систем болох “Able” нь бусад системүүдийн шинэчлэл /Update/ хийгддэг. Шинэчлэхийн тулд хэрэглэгчид “Able”-ийн Update программыг татан суулгах ёстой. Харин эдгээр хакер бүлгэмүүд нь хэрэглэгчид рүү уг Update программынх нь оронд өөрсдийн “HyperPro” хакер программыг далдлан илгээж, суулгажээ. Тэдний тооцоогоор 2018 оны тавдугаар сараас нэг их хойшгүй хэрэглэгчдийн компьютерт уг программаа нэвтрүүлжээ.

2020 оны арванхоёрдугаар сарын 9-ний өдөр “decoded.avast.io”-д Зүүн өмнөд Азийн улс орнуудын төрийн байгууллагуудад үйлчилгээ үзүүлдэг үл мэдэгдэх компанийг хакерууд эвдэж, хэрэглэгчид рүү нь имэйлээр "HyperBro” программ илгээсэн талаар мэдээлсэн байгаа юм. "HyperBro” бол хэрэглэгчдийн компьютерт нууцлагдан суусан хакер программ. Харин уг үл мэдэгдэх компанийг компанийг “ESET”-ийн судлаачид “Able” хэмээн үзэж байгаа юм байна. Учир нь HyperBro программ илгээсэн хавсралтын нэр “AbleTimeAccess_Update.exe” байх магадлалтай ажээ.

Доорх зураг бол LuckyMouse, TA428, ShadowPad backdoor гурван хакер бүлгэмийн холбоог харуулсан диаграмм юм.

Уг диаграммаас хараад хэд хэдэн таамаглал дэвшүүлж болно.

•  “LuckyMouse” хакеруудын бүлгэм нь "Tmanger”, "Shadowpad” программ руу нэвтэрч чаддаг.
• “LuckyMouse” сулруулсан “Able”-ийн серверт нэвтрэх чадвараа өөр хакеруудын бүлгэмтэй /ТА428/ хуваалцдаг байж магадгүй.
• “HyperBro”-г “TA428” бүлгэм, эсвэл “Tmanger”, “ShadowPad” программуудад нэвтрэх чадвартай өөр нэгэн бүлгэм хамтран эзэмшдэг байж магадгүй.
• “LuckyMouse”, “TA428” бүлгэмүүд нь нэгэн том хакеруудын бүлгэмийн дэд бүлэг байж магадгүй.

"ESET”-ийнхэн 2018 оны дундуур “Able Desktop chat”-ийг  ашиглан "HyperBro” татаж халдлага үйлдсэн анхны тохиолдлыг илрүүлсэн. "HyperBro” нь нэвтрэх кодыг тайлдаг программ бөгөөд ихэнхдээ “LuckyMouse (Emissary Panda эсвэл APT27)” бүлгэм ашигладаг. Мөн “Able”-ийг ашиглан "Tmanger” программ /мөн хакерддаг программ/ суулгаж халдлага хийсэн ажээ.

Хэрэглэгчид “Able Desktop” программаа шинэчлэхийн тулд “HTTPS”-ээр дамжуулан "Updater” татдаг. Татсан шинэчлэгч “%USERPROFILE%\Documents\Able\Able Desktop.exe.”-д хадгалагддаг. Хэрвээ "Updater” нь албан ёсны, жинхэнэ байвал “Able Desktop”-ийн шинэ хувилбар суулгагдаж, программ шинэчлэлт амжилттай болно.

Харин 2018 оны дундуур татагдсан "Updater” нь албан ёсны бус "HyperBro backdoor” программ байжээ. Өөрөөр хэлбэл хакеруудын бүлгэм "Updater” татахыг оролдсон хүмүүс рүү албан ёсны программынх нь оронд өөрсдийн нууц программын суулгацыг илгээж байсан гэсэн үг. Тэр үеэс хойш “Able Desktop” шинэчлэгдэлгүй зөвхөн "HyperBro” хакерын программ оронд нь сууж, халдлага л явагдаж ирсэн гэсэн үг.

Эх сурвалж: decoded.avast.io, welivesecurity.com

Б. БУЯНДОРЖ

Өөрийн сэтгэгдлээ илэрхийл

Share Tweet