31 АРНАҒА ШИФРЛАУШЫ ШАБУЫЛ ЖАСАДЫ
«Мемлекеттік техникалық қызмет» АҚ-ның KZ-CERT Компьютерлік инциденттерге әрекет ету қызметі (бұдан әрі – KZ-CERT) ағымдағы жылдың 9 қазанында «31 арна» қазақстандық жеке телеарнасының қызметкерлері өздерінің файлдық серверінде күдікті кеңейтілімдері бар файлдарды (шифрланған файлдар) анықтағанын хабарлайды.
Қауіптерді бейтараптандыру үшін «31 арнаның» техникалық әкімшілері бірінші кезекте шифрланған серверлердегі желілік интерфейстерді өшірді.
Содан кейін жүйе әкімшісі локальдық әкімші түрінде бағдарламалардың (ProcessHacker, UBitUnlocker) көмегімен іске қосылған зиянды бағдарламалық қамтылымның (ЗБҚ) іздерін байқады. Сонымен қатар, осы серверден RDP (Remote Desktop Protocol – қашықтағы жұмыс үстелінің протоколы) арқылы локальдық әкімшілердің есептік жазбаларын бұзатын басқа серверлерге қосылулар байқалды.
Шифрланған серверлер тізімінде 1C бағдарламасына, бухгалтерияның файл серверіне, WiFi, басып шығару серверіне және т.б. байланысты серверлер байқалды. Зиянкестер барлық серверлерде орнатылған вирусқа қарсы БҚ қолмен жойып тастай алды.
Талдау барысында KZ-CERT қызметкерлері шифрланған серверлерді сканерлеу жұмыстарын жүргізді. Бір виртуалды локальдық компьютерлік желіде (VLAN) орналасқан вируспен зақымдалған серверлерде авторизацияға байланысты осалдық бар екені анықталды. Деректерді резервтік көшіру уақтылы жасалмаған.
Қазіргі уақытта KZ-CERT қызметкерлері ұйымдастырушылық және техникалық шараларды қабылдау мақсатында инцидентті зерттеу бойынша жұмыстарды жалғастыруда, ақпараттық қауіпсіздік стандарттарын сақтау, логиндеу және резервтік көшіру бойынша бастапқы ұсынымдар берілді. Компьютерлік криминалистика бойынша іс-шараларды одан әрі өткізу үшін серверлердің үлгілері түсіріліп алынды.
*АҚПАРАТ ҮШІН зиянды бағдарламалар мен күшпен алушы бағдарламалардың шабуылдарынан қорғау бойынша ұсынымдар https://www.cert.gov.kz/news/13/2057 KZ-CERT ресми интернет-ресурсында шағын және орта бизнеске арналған кеңестер мен ұсынымдар бөлімінде жарияланды.
