თინეიჯერები, რომლებმაც Microsoft და NVIDIA გატეხეს — როგორ მუშაობს ჰაკერული დაჯგუფება LAPSUS$

LAPSUS$ ტექნოლოგიური გიგანტების წინააღმდეგ

რენსომვეარის გენგი — დახლოებით, ამგვარი ტერმინოლოგიით ფასდება ისეთი ჰაკერული დაჯგუფებები, რომლებიც დღეს უკვე იყენებენ ვირუსის ხაზს, სახელად რენსომვეარი. ისინი ახერხებენ შეიჭრან გლობალური კომპანიების სისტემებში, მოთხოვონ მათ ფული დაჰაკულ ფაილებში და ხშირად, გაიმარჯვონ კიდევაც. თუმცა, ყოველთვის ასე როდი ხდება.

ცოტა ხნის ერთ-ერთი ასეთი დაჯგუფების — ლაპსუსის წევრები დააკავეს. ისინი ძირითადად თინეიჯერები არიან, ხოლო მათი ერთ-ერთი ლიდერი სულ რაღაც 16 წლისაა. სავარაუდოდ, სწორედ მის სახელს უკავშირდება ისეთი კომპანიების სისტემების გატეხვა, როგორიცაა Microsoft, NVIDIA, Samsung თუ UBISOFT.

რა არის რენსომვეარი?

რენსომვეარი გახლავთ ვირუსის ტიპი, რომელიც თქვენი სისტემის კომპრომიზირებას კრიპტოგრაფიული მავნე ჩანართებით ახდენს და საბოლოოდ სისტემაში მყოფი ფაილების დაკრიპტვას იწვევს. ხოლო, გამოსახულების სახით კი ხშირად გვთავაზობს საშუალებას და იმ ანაზღაურების ოდენობას, რამდენიც საჭიროა გასაღებისთვის (გაჩენილი პრობლემის აღმოსაფხვრელად). ყველაზე უარეს შემთხვევაში კი რენსომვეარის ვაიპერ ვერსია იწვევს ჩვენი სისტემის სრულ კოლაფსს და BIOS-ის განადგურებას.

თანამედროვე ტიპის რენსომვეარები უკვე ორიენტირებულია აღდგენითი ფუნქციების დაბლოკვაზეც. ასევე, ხშირია ღრუბლოვანი სისტემების დავირუსების შემთხვევები. ხშირად ისინი Backup Safe mode-ს თიშავენ, რათა არ მოხდეს დაკრიპტული ფაილების აღდგენა და მათი საიმედო ადგილას გადატანა.

მსგავსი ტიპის შემთხვევებისგან თავის დასაცავად კომპანიებს ხშირად უსაფრთხოების სისტემების წარმომადგენლები სთავაზობენ, შექმნან იმ ფაილების ასლები, რომელიც ცალკეულად იქნება დაცული, თანაც საერთოდ სხვა ადგილას. მასთან წვდომა კი შეუძლებელი იქნება. ხოლო, ხშირ შემთხვევაში საერთოდ გაითიშება ქსელიდანაც, რადგან რენსომვეარებს SMB პროტოკოლის სისტემური ექსპლოიტის გამოყენება ახასიათებთ. ბოლოს ეს ექსპლოიტი მასშტაბურად რეიკის რენსომვეარმა გამოიყენა.

ლაპსუსის ლაპსუსი

რენსომვეარების გენგები ასევე განსხვავდებიან მიდგომებითაც. საინტერესოა, რომ მათი ინდივიდუალური ტაქტიკა ხშირად დამოკიდებული გახლავთ მათსავე პრიორიტეტებზე. შესაძლოა, ეს იყოს პოლიტიკური მოტივები ან უბრალოდ ფულის შოვნის სურვილი. თუმცა, უკანასკნელი ორისგან განსხვავებული ტაქტიკა დაგვანახა ლაპსუსმა, რომელმაც ირიბად ახალი მიმართულებაც კი ჩამოაყალიბა სოციალურ-ინჟინერიაში. მან გვიჩვენა, რომ მოსყიდვა, როგორც ასეთი, შესაძლებელია იყოს სოციალური ინჟინერიის ნაწილი.

ეს ტაქტიკა პირდაპირ თუ ირიბად იქნა აღებული ბრიჩის რენსომვეარის გენგის მიერაც, რომელმაც 2021 წელს შეძლო EA sport-სგან წამოეღო დაახლოებით 70% თამაშების სორს კოდი. ისინი ჯერ არც კი იყო ჩაშვებული. დაახლოებით იგივე გაიმეორა ცოტა ხნის წინ დაჯგუფება ლაპსუსმა UBISOFT-თან მიმართებაში. ზოგიერთი მიიჩნევს, რომ ამ დაჯგუფების ერთ-ერთი ლიდერი, რომელიც წარმოშობით ბრიტანელი 16 წლის ბავშვია, წინა შეტევის სათავეშიც იდგა. თუმცა, მაშინ ის განსხვავებული დაჯგუფების სახელით მოქმედებდა. სხვათა შორის, დაჯგუფებებს გადაწყობა ხშირად სჩვევიათ, განსაკუთრებით მაშინ თუ იგრძნეს, რომ ფედერალები მათ კვალს ადგანან და გამოაშკარავება კარზეა მომდგარი.

ლაპსუსი ბოლო ხანებში ღია საკონტაქტო საშუალებას იყენებს, კერძოდ კი ტელეგრამს. ზოგიერთი მკვლევარი მიიჩნევდა, რომ სწორედ ტელეგრამი იქნებოდა მათი აქილევსის ქუსლი. საბოლოოდ ასეც მოხდა. ტელეგრამმა "გასცა" ლაპსუსის ბრიტანელი წევრები და ის, ძირითადად, თინეიჯერებით დაკომპლექტებული აღმოჩნდა.

როგორ აღწევენ მიზანს ჰაკერული დაჯგუფებები — ლაპსუსის ტაქტიკა

მოდით, გავიხსენოთ, რომ გლობალურ ბაზარზე დიდი კომპანიების კოლაბორაცია საკმაოდ ხშირი და მჭიდროა. ხანდახან, ეს შეიძლება აღვიქვათ საფრთხედაც. ეს კარგად დაგვანახა NVIDIA-ს ვარიანტმაც. მათი სერტიფიკატის დახმარებით მოხდა ის, რომ ჰაკერებმა შეძლეს Microsoft-ის თუ ნებისმიერი სხვა ტიპის უსაფრთხოების სისტემებისთვის აევლოთ გვერდი. ამ უსაფრთხოების სისტემებმა ვირუსი ენვიდიას პროგრამად აღიქვეს, რამაც, რა თქმა უნდა, ანომალიური მოქმედებების დროსაც კი არ გამოიწვია მათი ჩარევა.

ამ შემთხვევაში განსხვავებით დაჯგუფება კონტისგან, რომელმაც ირლანდიის ჯანდაცვის სამინისტროს 14 999 999 $ მოსთხოვა ფაილების დაბრუნებისთვის, ლაპსუსის ტაქტიკა განსხვავებული იყო. მათ სურდათ, რომ NVIDIA-ს RTX-ის გრაფიკული ბარათების სერიას ისევ შესძლებოდა მაინინგი და კრიპტოვალუტის გამომუშავება. სხვათა შორის, ჰაკერებში კრიპტოვალუტა დიდი პოპულარობით სარგებლობს. ამაზე შემდგომ ვისაუბრებთ. თუმცა, მანამდე შეგვიძლია ვთქვათ, რომ არ ვიცით ენვიდია რას იზამს ამ საკითხთან მიმართებაში, რადგან ასევე ვიცით, რომ ლაპსუსს ერთი ტერაბაიტის ინფორმაცია გააჩნია, კომპანიის მომავალ პროგრამებთან დაკავშირებით. ეს კი საკმაოდ დიდი ინფორმაციაა გარისკვისთვის. ჩვენ გვახსოვს შემთხვევები, როდესაც კომპანიებმა უმალვე გამოსასყიდიც კი გადაიხადეს. მაგალითად, ამერიკულმა კომპანიამ JBS-მა დარქსეიდის დაჯგუფებას 11 მილიონი გადაუხადა. წინააღმდეგ შემთხვევაში, უბრალოდ, ფაქტობრივად გაჩერდებოდა ხორცის ექსპორტი, რაც ძალზედ დააზარალებდა მათ.

ფაქტია, რომ დაჯგუფებებს კომპანიების სისუსტეები კარგად აქვთ შესწავლილი და ცდილობენ, ადამიანური მომენტებით ისარგებლონ. ხშირად, სწორედ მესამე კომპანიები გახლავთ ყველაფრის მიზეზი და სწორედ მესამე ტიპის კომპანიების მხრიდან ხორციელდება შეტევა. თუმცა, ოქტას ამბავში, როდესაც ყველაფერი დაიწყო მესამე დაქირავებული კომპანიის საშუალებით, მოხერხდა ინჟინრის კომპიუტერზე წვდომა. შემდგომ კი უკვე ოქტას სისტემის კომპრომიზირება. აღსანიშნავია ისიც, რომ რენსომვეარის გარდა მათი ტაქტიკა Remo control-ის კუთხითაც მდიდარია, რაც კიდევ უფრო სწრაფ და მოხერხებულ ტაქტიკას გულისხმობს.

ლაპსუსის ტაქტიკა ამ კუთხითაც განსხვავდება. თუ ადრე პირდაპირ ხდებოდა რენსომვეარით დავირუსება, ამ შემთხვევაში ლაპსუსმა კონტის მიბაძა და ჯერ ყველაფერს ტრიკბოტის, ანდაც ბაზრის მელვეირის ჩატვირთვით იწყებს. ამით საშუალება აქვს მიწვდეს იმ ფაილებს, რომელიც მისთვის საინტერესოა. ფაქტობრივად, ხშირად ისინი ირჩევენ კიდეც, თუ რა სჭირდებათ. ამის შემდგომ კი სერვერიდან იწყება რენსომვეარის ჩამოტვირთვა და სისტემაში გაშვება. შესაძლოა, ეს ყველაფერი 5-6 დღე გაგრძელდეს, მაგრამ ყოფილა შემთხვევები, როდესაც ეს ყველაფერი 5 საათშიც მომხდარა. მაგალითად რეიკის ტაქტიკა 5 საათიანი გეგმით მიმდინარეობდა განსხვავებით კონტისგან, რომლის უკანაც Wizard Spider დგას.

ლაპსუსის ბოლო არჩევანი კი გლობალური, დიდი კომპანიები გახლდათ. მათ იცოდნენ, რომ ამას შეძლებდნენ და საბოლოოდ, მართლებიც აღმოჩნდენ. მაიკროსოფტის და ოქტას გატეხვის შემდგომ მათ შეძლეს მათ დაქვემდებარებაში მყოფი რამდენიმე კომპანიის კომპრომიზირება. ისევე, როგორც სამსუნგის შეთხვევაში, როდესაც მის მიერ დაქირავებული ამერიკული კომპანიები მოხვდნენ ამ გაუგებრობაში და მათ სისტემაზეც არალეგალური წვდომა განხორციელდა. თუმცა, ამ შემთხვევაშიც საინტერესო ის გახლავთ, რომ ისინი არ შეხებიან კომპანიის თანამშრომლების პირად მონაცემებს. განსხვავებით კონტისგან, რომელსაც პირადი საცხოვრებლის მონაცემების გავრცელებაც კი სჩვევია. თითქოს ისინი გარკვეული ტიპის ნორმებით მოქმედებენ. (კონტის და რეიკის უკან ერთი და იგივე ჯგუფი დგას, Wizard spider)

მაშტაბური შეტევის ხასიათი შესაძლოა გამოწვეულია ზუსტად იმით, რომ ლაპსუსმა შეძლო კონტინენტური ომის დაწყება და გლობალურ მაშტაბებს გადასწვდა. ეს ყველაფერი კი გაცილებით დამღუპველად ჩანს. იგივეს თქმა შეგვიძლია რეიკის რენსომვეარზეც, როცა მაშტაბებს ვეხებით. მაგრამ, რეიკის მიზანი გაცილებით სხვა იყო. მათ შემქმნელებს სურდათ, რომ ჯანდაცვის სამინისტროში სრული პანიკა დასადგურებულიყო. შეერთებული შტატების ტერიტორიაზე, გარკვეულწილად მათ ეს მოახერხეს. 235 საავადმყოფო დაავირუსეს და დაახლოებით 100 მილიონი დოლარის ოდენობის ბიტკოინის შეგროვება მოახერხეს. რეიკის უკან შანტაჟშიც კარგად გაწაფული დაჯგუფება კონტი გახლდათ. როგორც ჩანს ეს ბიჭები ფინანსებშიც საკმაოდ კარგად ერკვევიან, რადგან თუ გადავხედავთ მათ მიმოწერას საავადმყოფოებთან, ცხადი ხდება მათი დახვეწილი შანტაჟის ენა.

თუმცა, ლაპსუსი მათგან განსხვავდებოდა ტაქტიკითა თუ მიზნებით. ამჟამად, მიუხედავად იმისა, რომ ამ დაჯგუფების წევრების ნაწილი დაკავებულია, LAPSUS$ ჰაკერულ შტევებს აგრძელებს. ისინი ახალ სტრატეგიებსა და საშუალებებს იმუშავებენ და ყოველთვის სჯობს, მათ მაქსიმალურად მზად დავხვდეთ.