SHOE RACK: Internet orqali yashirincha kirib keladigan xavfli virus

Buyuk Britaniyaning Milliy Kiberxavfsizlik Markazi (NCSC) maxsus ogohlantirish bilan chiqdi: SHOE RACK nomli zararli dastur (virus) aniqlangani va u Fortinet kompaniyasining FortiGate 100D xavfsizlik devorlari (firewall) orqali korxonalarning ichki tarmoqlariga yashirincha kirayotganini ma’lum qildi.

SHOE RACK — bu kompyuterga bir marta tushganidan keyin hujumchiga doimiy kirish imkonini beradigan virus. U quyidagilarni bajaradi:

  • Internet orqali hujumchiga ulanish o‘rnatadi
  • Tizimda yashirincha ishlaydi va sezilmaydi
  • Boshqa tarmoqlarga ham kirish yo‘lini ochadi (ya’ni boshqa kompyuterlarga ham o‘tishi mumkin)

Bu virus ayniqsa tashqi tarmoq qurilmalariga hujum qilishni nishonga olgan — bu esa juda xavfli, chunki bunday qurilmalar odatda butun kompaniya tarmog‘ining «darvozaboni» bo‘ladi.

SHOE RACK o‘zini aniqlash qiyin bo‘lgan usullarda yashiradi:

  • DNS-over-HTTPS (DoH) orqali bog‘lanadi — ya’ni odatdagi internet domen nomlarini yashirin kanalda o‘zgartiradi
  • SSH deb ataladigan tizimga masofadan kirish protokoli orqali aloqada bo‘ladi
  • O‘zini eski SSH dasturi sifatida ko‘rsatadi, bu esa xavfsizlik tizimlarini chalkashtiradi
  • Google, Cloudflare, OpenDNS kabi mashhur xizmatlardan foydalanib, o‘zini «oddiy internet trafigi» sifatida ko‘rsatadi

Bu usullar tufayli ko‘plab xavfsizlik dasturlari uni oddiy internet harakati deb o‘ylab, e’tibor bermasligi mumkin.

U qanday ishlaydi?

  1. Virus “ldnet” nomi bilan ishlaydigan kichik dastur ko‘rinishida tarqatiladi
  2. Ishga tushirilgach, u maxsus domen (phcia.duckdns.org) orqali buyruq oladigan serverga ulanadi
  3. Tizimda yashirin kanal ochadi va hujumchi bilan doimiy bog‘lanishda bo‘ladi
  4. Hujumchi istasa, boshqa kompyuterlarga ham kirib boradi

Virus Go dasturlash tilida yozilgan va NHAS deb nomlanuvchi ochiq kodli SSH dasturidan foydalanilgan.

Kimlar xavf ostida?

  • FortiGate 100D xavfsizlik devoridan foydalanuvchilar
  • Tashqi tarmoq qurilmalarini yangilamagan tashkilotlar
  • Tarmoq trafigini yetarlicha nazorat qilmaydigan kompaniyalar

Bu zararli dastur aynan tarmoqning kirish nuqtasini egallashga urinishda, bu esa hujumchilarga ichkariga kirish va butun tarmoq ustidan nazorat o‘rnatish imkonini beradi.

Nima qilish kerak?

Fortinet qurilmalaringizni yangilang
Tarmoq trafigingizni doimiy kuzatib boring
Shubhali DNS yoki SSH trafigini aniqlash uchun xavfsizlik tizimlaringizni sozlang
Zaxira nusxalarini muntazam tayyorlab boring
Xodimlaringizni phishing va zararli fayllar haqida ogohlantiring

SHOE RACK — bu zamonaviy, juda xavfli, aniqlash qiyin bo‘lgan kiberhujum vositasidir. U oddiy internet protokollariga o‘xshab ko‘rinib, aslida ichki tarmoqlarga yashirin yo‘llar bilan kirib boradi.

Bugungi raqamli dunyoda bunday viruslar tobora murakkablashmoqda. Eng ishonchli himoya — bu hushyorlik, yangilangan tizimlar va kuchli xavfsizlik nazoratidir.