Shimoliy Koreya xakerlari yangi 'EtherHiding' kampaniyasida blokcheynni qurol sifatida ishlatmoqda

Koreyadan yangi kiber tahdid paydo bo‘lmoqda, chunki davlat tomonidan qo‘llab-quvvatlanadigan xakerlar zararli kodni to‘g‘ridan-to‘g‘ri blockchain tarmoqlariga joylashtirish ustida tajriba o‘tkazmoqda.

Google’s Threat Intelligence Group (GTIG) 17-oktabr kuni xabar berishicha, EtherHiding deb nomlangan bu usul xakerlarning zararli dasturlarni markazlashmagan tizimlar orqali yashirish, tarqatish va boshqarish usullarida yangi bosqichni anglatadi.

EtherHiding nima?

GTIG tushuntirishicha, EtherHiding xakerlarga Ethereum va BNB Smart Chain kabi ommaviy blockchainlar va smart-kontraktlardan foydalanib, zararli fayllarni saqlash imkonini beradi.

Bu markazlashmagan reyestrlarga kod yuklangandan so‘ng, uni olib tashlash yoki bloklash deyarli imkonsiz bo‘lib qoladi, chunki ular o‘zgarmas (immutable) hisoblanadi.

“Smart-kontraktlar markazlashmagan ilovalarni yaratishda innovatsion imkoniyatlar taqdim etsa-da, ularning o‘zgarmas tabiati EtherHiding’da zararli kodni joylashtirish va yetkazib berishda foydalaniladi, bu esa uni oson bloklashni imkonsiz qiladi,” — deb yozdi GTIG.

Amalda, xakerlar ko‘pincha WordPress’ning qonuniy saytlariga hujum qiladi, odatda yamalanmagan zaifliklar yoki o‘g‘irlangan hisob ma’lumotlaridan foydalanadi.

Saytga kirish huquqini qo‘lga kiritgach, ular sayt kodiga “loader” deb ataluvchi bir necha qator JavaScript qo‘shadi. Foydalanuvchi zararlangan sahifani ochganda, loader yashirincha blockchain bilan ulanadi va zararli dasturiy ta’minotni masofaviy serverdan yuklab oladi.

EtherHiding BNB Chain va Ethereum’da. Manba: Google Threat Intelligence Group

GTIG ta’kidlashicha, bu hujum ko‘pincha ko‘rinadigan tranzaksiya izini qoldirmaydi va deyarli hech qanday to‘lov talab qilmaydi, chunki u off-chain sodir bo‘ladi. Bu esa xakerlarga aniqlanmasdan harakat qilish imkonini beradi.

Qiziqarli tomoni shundaki, GTIG EtherHiding’ning birinchi holatini 2023-yil sentabr oyida aniqlagan, u CLEARFAKE deb nomlangan kampaniyada paydo bo‘lgan va foydalanuvchilarni soxta brauzer yangilanishi xabarlari bilan aldashga uringan.

Hujumdan qanday himoyalanish mumkin

Kiberxavfsizlik tadqiqotchilari bu taktika Shimoliy Koreyaning raqamli strategiyasi faqat kriptovalyutani o‘g‘irlashdan blockchain’ning o‘zini yashirin qurol sifatida ishlatishga o‘tayotganini ko‘rsatadi, deydi.

“EtherHiding — bu keyingi avlod ‘bulletproof hosting’ga o‘tishni anglatadi, bunda blockchain texnologiyasining o‘ziga xos xususiyatlari zararli maqsadlarda qayta ishlatiladi. Bu usul kiber tahdidlarning doimiy rivojlanayotganini, xakerlar yangi texnologiyalarga moslashib, ulardan o‘z foydasiga foydalanayotganini ko‘rsatadi,” — dedi GTIG.

Citizen Lab’ning katta tadqiqotchisi John Scott-Railton EtherHiding’ni “boshlang‘ich bosqichdagi tajriba” deb ta’rifladi. U, agar bu usul sun’iy intellekt asosidagi avtomatlashtirish bilan birlashtirilsa, kelajakdagi hujumlarni aniqlash ancha qiyinlashishini ogohlantirdi.

“Men xakerlar blockchain’larni qayta ishlovchi tizimlar va ilovalarga bevosita ‘zero click’ ekspluatatsiyalarni yuklash bilan ham tajriba o‘tkazishini kutyapman... ayniqsa, agar ular ba’zan tranzaksiyalarni boshqaradigan yoki wallet’lar saqlanadigan bir xil tizim va tarmoqlarda joylashgan bo‘lsa,” — deya qo‘shimcha qildi u.

Bu yangi hujum vektori kripto sanoati uchun jiddiy oqibatlarga olib kelishi mumkin, chunki Shimoliy Koreya xakerlari juda faol hisoblanadi.

TRM Labs ma’lumotlariga ko‘ra, Shimoliy Koreya bilan bog‘liq guruhlar joriy yilning o‘zida 1.5 milliard dollardan ortiq kripto aktivlarni o‘g‘irlashga ulgurgan. Tergovchilar bu mablag‘lar Pxenyan harbiy dasturlari va xalqaro sanksiyalardan chetlab o‘tish uchun ishlatilayotganiga ishonishadi.

Shu sababli, GTIG kripto foydalanuvchilariga shubhali yuklamalarni bloklash va ruxsatsiz veb-skriptlarni cheklash orqali xavfni kamaytirishni tavsiya qiladi. Guruh, shuningdek, xavfsizlik tadqiqotchilarini blockchain tarmoqlariga joylashtirilgan zararli kodlarni aniqlash va belgilashga chaqirdi.