Хятадын хакерууд Монголын төрийн байгууллагуудын ашигладаг "ABLE" програмын хэрэглэгчдийн мэдээллийг хулгайлсныг "Kaspersky" зарлажээ
Хятадын какерын бүлэг "Luckymouse" Монголын Монголын Засгийн газар болоод томоохон байгууллагуудад халдсан тухай тайланг антивурис судалгааны “Kaspersky Lab” болон "ESET" байгууллагууд гаргасан байна.
Антивирус програмын "ESET" компанийн судлаачид Монголын төрийн албанд түгээмэл хэрэглэгддэг "Able Desktop" хэмээх програмд нууцаар HyperBro, Korplug, Tmanger зэрэг вирус суулгаж тус програмын хэрэглэгчийн мэдээллийг хулгайлдаг байсан тухай тус тайланд дурджээ.
Хакерууд “watering hole-style” буюу ажилтнуудын и-мэйл хаягаар дамжуулан Монгол улсын төрийн албаны мэдээллийн санд нэвтэрсэн аж. Энэхүү хакер ажиллагаа 2017 оны аравдугаар сараас эхэлснийг “Kaspersky lab” энэ оны гуравдугаар сард илрүүлсэн юм.
"Able Desktop" програмыг нийт 430 гаруй төрийн албаны байгууллагууд хэрэглэдэг байна. "Able Desktop" нь Chromium дээр суурилсан Java, Javascript хэл дээр бичигдсэн програм юм. Хакерууд 2018 оны 5-р сараас хойш вирус суулгаж эхэлсэн хэмээн мэргэжилтнүүд тогтоосон байна.
Одоогийн байдлаар доор газрууд халдлагад өртөөд байгаа нь тодорхой болсон:
- Цагдаагийн ерөнхий газар
- Хөгжлийн банк
- Тээвэр хөгжлийн банк
- Миний локал
- Ерөнхийлөгчийн тамгын газар
- Ашигт малтмал газрын тосны газар
- Үндэсний аудит
- ХЗДХЯ
- Боловсролын их сургууль
- БХБЯ
- УБЦТС
Монголын мэдээллийн санд халдсан хакер бүлгийнхэн өнгөрсөн хугацаанд APT27, EmissaryPanda, IronPanda, LuckyMouse зэрэг нэрийг ашиглаж байжээ. Монгол цор ганц хохирогч бус, Төв Азийн олон орон тус хакерийн бүлгийн хохирогч болсон байх магадлалтай юм байна.
Тухайн хакерын бүлэг Зүүн өмнөд Азийн улс орнуудын төрийн байгууллагуудад үйлчилгээ үзүүлдэг компаниудыг онилсон хакерын кампанит ажил явуулсан. Тэрхүү халдлагад өртсөн компаниудын нэг нь "ABLE" байх магадлалтай юм.
Тухайн хакерын бүлэг Зүүн Азийн засгийн газруудыг програмаар хангаж байсан компанийн дүр эсгэж вирус агуулсан имэйлийг илгээх замаар төрийн албаны төхөөрөмжүүдэд халдаж эхэлсэн аж.
ABLE бол Монголын байгууллагуудад зориулсан үйл ажиллагаа, хяналт, удирдлагын нэгдсэн систем буюу онлайн програм хангамжуудын цуглуулга бүхий вэб платформ юм. "Able Desktop" нь тус багцад багтсан чатын програм хангамж аж.
Програм шинэчлэлтийг ашигласан нь
Өөрийгөө шинэчлэхийн тулд "Able Desktop" нь хэрэглэгчийн зөвшөөрөлгүйгээр интернетэд холбогдож шаардлагатай файлыг татаж авдаг.
Дээрх имэйлийн хавсаргасан вурис бүхий файлын нэр нь AbleTimeAccess_Update.exe байж магадгүй хэмээн мэргэжилтнүүд үзэж байгаа юм. Энэхүү файл нь "Able Desktop"-ийн байгаа фолдерт шууд суудаг аж. Өмнө нь дурьдсанчлан "Able Desktop" нь хэрэглэгчийн зөвшөөрөлгүйгээр интернетэд холбогдож чаддаг учраас энэ чанарыг нь хакерууд ашиглан тухайн комьпютерт хүссэн үедээ нэтрэх боломжтой болдог гэнэ.
Хакерууд халдлага үйлдэхдээ доорх 3 төрлийн хакерын програм ашигласан байна
HyperBro
Анх 2013 онд хэрэглэгдэж эхэлсэн "HyperBro" нь байнгын шинэчлэгдэж байдаг "Luckymouse" бүлгийн халдлага хийдэг гол хэрэгсэл юм.
Korplug
Korplug RAT-ийг олон янзын хакерын бүлгүүд ашигладаг. Тус програм нь "HyperBro"-тай адилаар албан ёсны прогамд өөрийгөө суулгах замаар ажилладаг.
Tmanger
Tmanger төдийлөн их хэрэглэгддэггүй юм. Тиймээс үүний эсрэг сайн ажилладаг антивирус програмууд ховор байдаг.
Эх сурвалж: welivesecurity.com
