ოპერაციის ანატომია
საერთაშორისო სამართალდამცავმა ოპერაციამ სამიზნედ აირჩია SocGholish ბოტნეტი — კიბერდანაშაულის მასშტაბური ინფრასტრუქტურა, რომელიც რუსეთში დაფუძნებულ Evil Corp ჯგუფთანაა დაკავშირებული. ოპერაცია მიმართული იყო ამ ქსელის საკომანდო-საკონტროლო კვანძების ნეიტრალიზაციისა და ინფიცირებული სისტემების განეიტრალებისკენ. Evil Corp წლების მანძილზე განიხილება როგორც სახელმწიფოს მიერ ტოლერირებული კიბერაქტორი, რომლის ოპერაციები ფინანსური დანაშაულიდან კრიტიკული ინფრასტრუქტურის შეტევებამდე ვრცელდება.
მანიპულაციის მექანიზმი და ტაქტიკა
SocGholish ოპერირებდა drive-by download სქემით — მსხვერპლი ინფიცირდებოდა ლეგიტიმური საიტების კომპრომეტირების გზით, სადაც ყალბი browser განახლების შეტყობინებები გამოიყენებოდა მავნე კოდის მიწოდებისთვის. ბოტნეტი ფუნქციონირებდა როგორც პირველადი წვდომის ბროკერი (Initial Access Broker), რომელიც ინფიცირებულ სისტემებზე წვდომას სხვა კიბერდამნაშავე ჯგუფებს ყიდდა, მათ შორის ransomware ოპერატორებს. Evil Corp-ის ოპერაციული ტაქტიკა მოიცავდა JavaScript-ზე დაფუძნებული დამტვირთველების გამოყენებას, Cobalt Strike beacon-ების განლაგებას და გეოლოკაციაზე დაფუძნებულ სამიზნეთა სელექციას.
რეალური ფაქტები და მტკიცებულებები
Evil Corp აშშ სახაზინო დეპარტამენტის OFAC-ის სანქციების ქვეშ იმყოფება 2019 წლიდან, ხოლო ჯგუფის სავარაუდო ლიდერი მაქსიმ იაკუბეცი FBI-ის ყველაზე სასურველ კიბერდამნაშავეთა სიაშია. ფორენზიკული მონაცემები ადასტურებს, რომ SocGholish ინფრასტრუქტურა გამოიყენებოდა WastedLocker და Hades ransomware კამპანიების სტეიჯინგ პლატფორმად. სამართალდამცავი უწყებების კოორდინირებული ჩარევა მოიცავდა სერვერების ამოღებას და ქსელის კომუნიკაციის ჩაკეტვას რამდენიმე იურისდიქციაში.
წყაროს ვერიფიკაცია: The Record
ფოტო: Haberdoedas / Unsplash
