Çinli ‘Ink Dragon’: Avropa hökumətlərinə qarşı yeni kibertəhlükə?

“Ink Dragon” nədir və necə fəaliyyət göstərir?

Çinlə əlaqəli “Ink Dragon” adlı təhdid qrupu Avropa hökumətlərini hədəfə alaraq, mürəkkəb casusluq şəbəkəsi qurur. Check Point şirkətinin araşdırmalarına görə, bu qrup əsasən Microsoft-un köhnə veb server platforması olan Internet Information Services (IIS) üzərindəki zəifliklərdən istifadə edir. Bu platforma ictimai sektor şəbəkələrində geniş istifadə olunduğundan və çox vaxt düzgün konfiqurasiya edilmədiyindən, hakerlər üçün cəlbedici bir hədəfdir.

Hücumun mərhələləri

Hücum prosesi, hakerlərin IIS serverini ələ keçirməsi ilə başlayır. Daha sonra, onlar daxili şəbəkələrə daxil olur, yerli istifadəçi məlumatlarını toplayır və inzibati sessiyaları izləyirlər. Bu məlumatlardan istifadə edərək, Microsoft Remote Desktop vasitəsilə diqqət çəkmədən şəbəkədə irəliləyirlər. Növbəti mərhələdə isə serverə xüsusi hazırlanmış IIS modulu quraşdıraraq, onu qrupun qlobal infrastrukturunun bir hissəsinə çevirirlər.

Genişmiqyaslı casusluq şəbəkəsi

Bu hücumun iki əsas məqsədi var. Birincisi, hökumət serverlərini ələ keçirərək kəşfiyyat məlumatlarını oğurlamaqdır. İkincisi isə, bu serverlərdən digər qurbanların şəbəkələrinə hücumlar üçün əlaqə nöqtəsi kimi istifadə etməkdir. Bu taktika, ənənəvi komanda və idarəetmə (C2) infrastrukturundan asılılığı azaldır və hakerlərin fəaliyyətini daha çətin izlənilən edir.

Check Point-in tədqiqatçıları qeyd edir ki, hakerlər bir serverdə sadə bir zəiflikdən başlayaraq, ardıcıl addımlarla şəbəkənin idarəetmə səviyyəsinə nəzarəti ələ keçirirlər. Daha sonra həmin mühit, digər hədəflərə qarşı hücumlarda istifadə olunan daha böyük bir şəbəkənin hissəsinə çevrilir.

Digər təhdidlər və təhlükəsizlik tədbirləri

Maraqlıdır ki, araşdırma zamanı Check Point, başqa bir Çinlə əlaqəli təhdid qrupu olan “RudePanda”nın da eyni vaxtda IIS zəifliklərindən istifadə etdiyini aşkar edib. Bu iki qrupun bəzən eyni serverlərdə fəaliyyət göstərdiyi məlum olub.

Bu hadisələr IIS serverlərinin zəif konfiqurasiyasının təhlükəsizlik üçün nə qədər ciddi bir problem olduğunu göstərir. Təhlükəsizlik mütəxəssisləri bu serverlərdə quraşdırılmış modulları mütəmadi olaraq yoxlamağı, genişləndirilmiş IIS loglarının aktivləşdirilməsini və serverləri veb tətbiq firewallu (WAF) arxasında yerləşdirməyi tövsiyə edirlər.