DarkBit xakerlari: VMware ESXi serverlarini nishonga olgan xavfli hujum

So‘nggi paytlarda kiberxavfsizlik sohasida yana bir xavfli tahdid yuzaga chiqdi. “DarkBit” nomli xakerlik guruhi korporativ VMware ESXi muhitlariga aniq va rejalashtirilgan hujumlar uyushtirib, virtual mashinalar disk fayllarini (VMDK) shifrlash orqali butun tizimlarni ishdan chiqarishga urinmoqda. Hujumchilarning asosiy maqsadi — VMFS datastorlaridagi korxona uchun ahamiyatli virtual diskni nishonga olishmoqda.

Mutaxassislar qayd etishicha, bu guruh C++ tilida yozilgan maxsus ransomware vositasidan foydalanadi. “esxi.darkbit” nomi bilan tanilgan ushbu zararli dastur (SHA256: 0bb1d29ede51d86373e31485d0e24701558e50856722357372518edfb98265a1) birinchi navbatda barcha virtual mashinalarni esxcli buyruqlari orqali to‘xtatadi. So‘ngra u parallel jarayonlar yordamida .vmdk, .vmx, .nvram kabi VMware’ga xos fayllarni shifrlashni boshlaydi. Har bir shifrlangan faylga .DARKBIT kengaytmasi qo‘shiladi.

Shifrlash mexanizmi

DarkBit ransomware’ida AES-128-CBC algoritmi va RSA-2048 ochiq kalitli kriptografiya qo‘llaniladi. Har bir fayl uchun alohida AES kaliti va IV (Initialization Vector) yaratiladi, so‘ng bu kalitlar dastur binar fayliga joylashtirilgan qattiq kodlangan RSA ochiq kaliti bilan shifrlanadi.

Shifrlash jarayoni tezroq bo‘lishi uchun dastur faylning faqat ma’lum qismlarini shifrlaydi: kichik fayllarda 1 MB shifrlab, 10 MB qismni o‘tkazib yuboradi, katta fayllarda esa fayl hajmiga asoslangan maxsus hisob-kitobdan foydalanadi.

ahlil davomida kiberxavfsizlik bo‘yicha mutaxassislar juda muhim xatolikni aniqlashdi. Dastur random sonlarni yaratishda vaqt belgisi (timestamp), jarayon identifikatori (PID) va stek manzillaridan foydalanadi. Bu esa kalitlar kombinatsiyasini keskin kamaytirib, atigi 2^39 imkoniyatli kichik “kalit fazosini” yuzaga keltiradi.

Shifrdan yechishdagi yutuq

Profero Incident Response jamoasi DarkBit’ning ushbu xatolaridan foydalanib, barcha shifrlangan ma’lumotlarni to‘lovsiz tiklashga muvaffaq bo‘ldi. VMDK fayllarining sarlavhalari (header) doimiy va oldindan ma’lum bo‘lgani sababli, ular maqsadli brute-force usulida AES kalitlarini topa olishdi. Shuningdek, VMDK fayllarining “sparse” tuzilishi tufayli ko‘plab ma’lumotlar aslida umuman shifrlanmaganligi aniqlandi.

Xulosa va tavsiyalar

DarkBit hodisasi yana bir bor shuni ko‘rsatdiki, hatto eng kuchli kriptografik algoritmlar ham noto‘g‘ri qo‘llanganda zaiflashadi. Bu voqea, ayniqsa, VMware ESXi muhitidan foydalanayotgan tashkilotlar uchun ogohlantirishdir:

  • Sertifikatlar va autentifikatsiya tizimlarini muntazam yangilab boring.
  • Zaxira nusxalarini (backup) offlayn holda saqlashni odat qiling.
  • Serverlarda keraksiz portlarni yopib, faqat zarur xizmatlarni ishga tushiring.
  • Vaqti-vaqti bilan xavfsizlik testlari va penetratsion sinovlarni o‘tkazing.

DarkBit’ning muvaffaqiyatsiz tugagan bu hujumi texnik zaifliklarni aniqlash va ulardan himoyalanishda eng yaxshi dars bo‘lib qoladi.