ПЛАТИН (киберқылмыс тобы) - PLATINUM (cybercrime group)

ПЛАТИН деген ат қойылған Microsoft а киберқылмыс үкіметтерге және байланысты ұйымдарға қарсы ұжымдық белсенді Оңтүстік және Оңтүстік-Шығыс Азия.[1] Олар құпия және топ мүшелері туралы көп нәрсе білмейді.[2] Топтың шеберлігі дегеніміз, оның шабуылдары кейде көптеген жылдар бойы анықталмай жүреді.[1]

Топ қарастырылды дамыған қауіп, кем дегенде 2009 жылдан бастап жұмыс істейді,[3] арқылы құрбандарға бағытталған найза-фишинг мемлекеттік қызметкерлердің жеке электрондық пошта мекен-жайларына қарсы шабуылдар, нөлдік күн эксплуатация және осал жерлер.[4][5] Өз құрбандарының компьютерлеріне қол жеткізе отырып, топ экономикалық маңызды ақпаратты ұрлайды.[1]

ПЛАТИНЫМ Microsoft Windows-тің ыстық патчирлеу жүйесін теріс пайдаланғандығы анықталғанға дейін және 2016 жылдың сәуірінде көпшілікке жария етілгенге дейін төмен деңгейде болды.[2] Бұл ыстық патчировка әдісі оларға жүйені қайта жүктемей-ақ жылдам патчтарды түзету, файлдарды өзгерту немесе бағдарламаны жаңарту үшін Майкрософттың өзіндік мүмкіндіктерін пайдалануға мүмкіндік береді, осылайша олар ұрланған деректерді жеке басын жасыру кезінде сақтай алады.[2]

2017 жылдың маусымында ПЛАТИНИЙ эксплуатация үшін маңызды болды LAN (SOL) арқылы сериялық Intel мүмкіндіктері Белсенді басқару технологиясы деректерді эксфильтрациялау үшін.[6][7][8][9][10][11][12][13]

Платинаның әдістері

PLATINUM вебті қолдана алатындығы белгілі болды плагиндер, бір кезде Үндістан үкіметінің бірнеше шенеуніктерінің компьютерлеріне 2009 ж. кіріп, электрондық пошта қызметін ұсынған веб-сайтты қолданды.[түсіндіру қажет ][1]

Мақсатты компьютерді басқарғаннан кейін PLATINUM актерлері мақсатты компьютер арқылы өте алады желі арнайы құрастырылған пайдалану зиянды бағдарлама модульдер. Бұларды Platinum тобының қолшатырымен жұмыс істейтін бірнеше командалардың бірі жазған немесе оларды Platinum 2009 жылдан бері айналысқан кез-келген сыртқы көздер арқылы сатуға болатын еді.[1]

Бұл зиянды бағдарламаның алуан түрлілігіне байланысты, нұсқаларында ортақ коды аз, Microsoft-тың тергеушілері оны отбасыларға таксономиялады.[1]

PLATINUM кеңінен қолданылған зиянды бағдарламалық жасақтаманы Microsoft компаниясы Dispind деп атады.[1] Бұл зиянды бағдарламалық жасақтама a-ны орната алады keylogger, кнопкаларды басатын (және енгізе алатын) бағдарламалық жасақтаманың бөлігі.[дәйексөз қажет ]

PLATINUM сонымен қатар «JPIN» сияқты зиянды бағдарламалық жасақтаманы пайдаланады, ол өзін компьютердің% appdata% қалтасына орнатады, осылайша ол ақпарат ала алады, keylogger жүктей алады, файлдар мен жаңартуларды жүктей алады және құпия ақпарат болуы мүмкін файлдарды шығарып алу сияқты басқа да тапсырмаларды орындайды.[1]

«Adbupd» - бұл PLATINUM қолданатын тағы бір зиянды бағдарлама, және бұрын аталған екеуіне ұқсас. Ол плагиндерді қолдау қабілетімен танымал, сондықтан оны әртүрлі қорғаныс механизмдеріне бейімделу үшін жан-жақты етіп мамандандыруға болады.[1]

Intel Exploit

2017 жылы Microsoft PLATINUM Intel-дің бір функциясын қолдана бастағанын хабарлады CPU.[14] Қарастырылып отырған мүмкіндік - бұл Intel-дің AMT Serial-over-LAN (SOL), бұл пайдаланушыға хостты айналып өтіп, басқа компьютерді қашықтан басқаруға мүмкіндік береді. операциялық жүйе мақсатты, соның ішінде хосттық операциялық жүйенің брандмауэрлері мен бақылау құралдары.[14]

Қауіпсіздік

Майкрософт пайдаланушыларға осалдықтарды азайту және үлкен желілерге өте сезімтал деректерді сақтамау үшін барлық қауіпсіздік жаңартуларын қолдануға кеңес береді.[1] PLATINUM ұйымдарды, компанияларды және мемлекеттік филиалдарды коммерциялық құпияларды алуға бағытталғандықтан, мұндай ұйымдарда немесе онымен жұмыс жасайтын кез келген адам топтың нысаны бола алады.[15]

Сондай-ақ қараңыз

Әдебиеттер тізімі

  1. ^ а б c г. e f ж сағ мен j «Платинум Оңтүстік және Оңтүстік-Шығыс Азиядағы мақсатты шабуылдар (PDF)» (PDF). Windows Defender Advanced Threat Hunting Team (Microsoft). 2016 ж. Алынған 2017-06-10.
  2. ^ а б c Осборн, Чарли. «Платиналық хакерлік топ белсенді науқандарда Windows патч-жүйесін бұзады | ZDNet». ZDNet. Алынған 2017-06-09.
  3. ^ Эдуард Ковачс (2017-06-08). ""Платина «Интернет-AMT-ті анықтаудан жалтару үшін кибершпиондар қиянат жасайды». SecurityWeek.Com. Алынған 2017-06-10.
  4. ^ Эдуард Ковачс (2016-04-27). ""Платина «Азиядағы кибершпиондар hotpatching-ке қиянат жасайды». SecurityWeek.Com. Алынған 2017-06-10.
  5. ^ msft-mmpc (2016-04-26). «PLATINUM үшін терең қазу - Windows Security». Blogs.technet.microsoft.com. Алынған 2017-06-10.
  6. ^ Питер Брайт (2017-06-09). «Ұқсас хакерлер Windows брандмауэрін айналып өту үшін Intel басқару құралдарын пайдаланады». Ars Technica. Алынған 2017-06-10.
  7. ^ Тунг, Лиам (2014-07-22). «Intel AMT-ді қолданатын» ыстық-патч «тыңшылардан қашқан Windows брандмауэрі, дейді Microsoft». ZDNet. Алынған 2017-06-10.
  8. ^ msft-mmpc (2017-06-07). «Платина дамуды жалғастыруда, көрінбеуді сақтау тәсілдерін іздеңіз - Windows Security». Blogs.technet.microsoft.com. Алынған 2017-06-10.
  9. ^ Каталин Цимпану (2017-06-08). «Зиянды бағдарлама деректерді ұрлау және брандмауэрді болдырмау үшін түсініксіз Intel CPU мүмкіндігін пайдаланады». Bleepingcomputer.com. Алынған 2017-06-10.
  10. ^ Юха Сааринен (2017-06-08). «Хакерлер төменгі деңгейдегі басқару функциясын көрінбейтін артқы есік үшін теріс пайдаланады - Қауіпсіздік». iTnews. Алынған 2017-06-10.
  11. ^ Ричард Чиргвин (2017-06-08). «Vxers Intel компаниясының Active Management қызметін жергілікті желіден тыс зиянды бағдарламалық жасақтама үшін пайдаланады. Платиналық шабуыл Азияда байқалды, әкімшінің тіркелгі деректері қажет». Тізілім. Алынған 2017-06-10.
  12. ^ Кристоф Виндек (2017-06-09). «Intel-Fernwartung AMT Angriffen auf PCs genutzt | heise Security». Heise.de. Алынған 2017-06-10.
  13. ^ «Intel AMT SOL | PLATINUM белсенділік тобын файлдарды жіберу әдісі | Windows Security Blog | 9 арна». Channel9.msdn.com. 2017-06-07. Алынған 2017-06-10.
  14. ^ а б «Platinum хакерлік тобы Intel AMT пайдаланады», Тад тобы, 2017-09-25
  15. ^ Лю, Цзяньхун (2017-07-15). Азиядағы салыстырмалы криминология. Спрингер. ISBN  9783319549422.