T1555.003 texnikasi: Veb-brauzerlardan parollarni o‘g‘irlashning yangi usuli

Kiberxavfsizlik olamida jiddiy xavf-xatarlarning biri sifatida MITRE ATT&CK doirasida T1555.003 deb nomlangan yangi va murakkab maxfiy ma’lumotlarni o‘g‘irlash texnikasi aniqlandi. Ushbu texnika xakerlarga dunyo bo‘ylab tashkilotlar uchun katta tahdid solib, veb-brauzerlardan foydalanuvchi nomlari va parollarini to‘g‘ridan-to‘g‘ri o‘g‘irlash imkonini beradi. Brauzerlar odatda qulaylik uchun bu ma’lumotlarni saqlaydi, ammo bu xususiyat endi hujumchilar uchun shaxsiy va korporativ hisoblarga ruxsatsiz kirish, imtiyozlarni oshirish va tarmoq ichida yonma-yon harakatlanishga imkon beradi.

T1555.003 texnikasi zamonaviy brauzerlarda login ma’lumotlarini saqlash xususiyatini ekspluatatsiya qiladi. So‘nggi tadqiqotlarga ko‘ra, brauzerlar bu ma’lumotlarni shifrlangan holda maxfiy saqlash joyida (credential store) saqlasa-da, hujumchilar ularni ochiq matn (plaintext) shaklida olish usullarini ishlab chiqqan. Masalan, Windows tizimlarida Google Chrome brauzerining shifrlangan ma’lumotlari AppData\Local\Google\Chrome\User Data\Default\Login Data joylashuvidagi ma’lumotlar bazasidan o‘g‘irlanadi. Xakerlar quyidagi SQL so‘rovni ishlatib, ma’lumotlarni oladi:

SELECT action_url, username_value, password_value FROM logins;

Shifrlangan ma’lumotlar keyin Windows API’dagi CryptProtectData funksiyasi orqali ochiladi, bu esa qurbonning keshlangan login ma’lumotlarini shifrlash kaliti sifatida ishlatadi.

Shunga o‘xshash zaifliklar Firefox, Edge va Safari kabi boshqa mashhur brauzerlarda ham mavjud. Bu xavfning oqibatlari jiddiy: o‘g‘irlangan brauzer ma’lumotlari ko‘pincha ma’muriy hisoblar bilan bir xil bo‘lsa, imtiyozlarni oshirishga olib keladi, bu esa tarmoq ichida kengroq zarar keltirishi mumkin.

Xavfsizlik telemetriya ma’lumotlariga ko‘ra, 2025-yil boshidan beri brauzer ma’lumotlarini o‘g‘irlash operatsiyalari sezilarli darajada oshgan. Tadqiqotchi Stiven Limning so‘zlariga ko‘ra, “tahlikeli razvedka panelida ko‘rsatilgan so‘rov natijalari ushbu texnika bilan bog‘liq 6000 dan ortiq faol ko‘rsatkichlarni aks ettiradi.” Ushbu texnikani faol qo‘llayotgan yetti yirik APT (Advanced Persistent Threat) guruhlari aniqlangan:

• Agent Tesla: Bir nechta brauzerdan ma’lumotlarni yig‘ib, ekran tasvirlari va klipbord ma’lumotlarini o‘g‘irlaydigan zararli dastur.
• APT41: Xitoy bilan bog‘liq guruh bo‘lib, davlat homiyligidagi josuslik va moliyaviy maqsadli operatsiyalarni amalga oshiradi.
• Boshqa guruhlar orasida Eron bilan bog‘liq Ajax Security Team, Xitoyning APT3, Eron harbiy tuzilmasiga aloqador APT33, Shimoliy Koreyaning APT37 va Eronning IRGC bilan bog‘liq APT42 guruhlari bor.

Hujumlarning ko‘p sonli ko‘rsatkichlari qayd etilgan:

• SHA-256 imzo fayllari: 3729 ko‘rsatkich.
• SHA-1: 256 ko‘rsatkich.
• MD5 hashlar: 859 ta (75% ishonchlilik) va 68 ta (83% ishonchlilik).
• URL va domen ko‘rsatkichlari: mos ravishda 584 va 170 ta moslik.
• Tarmoq trafigi manbalari: 154 ko‘rsatkich.

O‘zbekistonda internet foydalanuvchilarining soni o‘sib borayotgan bir paytda, mahalliy tashkilotlar va shaxsiy foydalanuvchilar T1555.003 texnikasidan kelib chiqadigan xavfga duchor bo‘lishi mumkin. Ayniqsa, banklar, davlat idoralari va yirik korxonalar brauzerlarda saqlangan ma’lumotlardan foydalansa, bu ma’lumotlar o‘g‘irlanib, nozik tizimlarga kirish uchun ishlatilishi mumkin. UZCERT (https://uzcert.uz/) xizmati bunday hujumlarga qarshi ogohlantirishlar chiqarsada, foydalanuvchilarning xavfsizlik bo‘yicha bilim darajasi hali yetarlicha emas, bu esa xavfni yanada oshiradi.

Hujumlarni aniqlash uchun tashkilotlar brauzer maxfiy ma’lumotlar saqlagichlariga fayl kirish naqshlarini monitoring qilishi kerak. Xavfsizlik vositalari Event ID 4663 jurnalini yaratishi mumkin, bu esa ruxsatsiz jarayonlar Local State yoki Login Data kabi fayllarga kirishga urinayotganida ogohlantirish beradi. Quyidagi choralar qo‘llanilishi lozim:

• Ko‘p faktorli autentifikatsiya (MFA): Barcha muhim hisoblar uchun MFA joriy etilishi kerak.
• Parollarni muntazam yangilash: Parollar vaqti-vaqti bilan o‘zgartirilib, murakkab kombinatsiyalar tanlanishi lozim.
• Imtiyozli kirishni cheklash: Ma’muriy hisoblarning brauzerlarda saqlanishini oldini olish kerak.
• Fayl tizimi monitoringi: Sigma qoidalari kabi vositalar yordamida brauzer maxfiy saqlagichlariga kirishni kuzatish.
• Zamonaviy maxfiy boshqaruv yechimlari: Brauzerlarning o‘zida mavjud himoyadan tashqari qo‘shimcha himoya qatlamlarini taklif qiluvchi yechimlar joriy etilishi kerak.

T1555.003 texnikasi veb-brauzerlar orqali maxfiy ma’lumotlarni o‘g‘irlashning yangi va xavfli usuliga aylandi. Agent Tesla va APT41 kabi guruhlarning faol hujumlari, shuningdek, 6000 dan ortiq faol tahdid ko‘rsatkichlari ushbu xavfning jiddiyligini ko‘rsatadi. O‘zbekistonda raqamli xizmatlar kengayib borar ekan, mahalliy tashkilotlar va foydalanuvchilar ushbu tahdidga tayyor bo‘lishi va xavfsizlik choralarini kuchaytirishi zarur. Kiberxavfsizlik – bu faqat texnologiyaga emas, balki doimiy ehtiyotkorlik va bilimlarga asoslanadigan soha. Maxfiy ma’lumotlaringizni himoya qilish uchun bugundan choralar ko‘ring!