[Report]: Operation Universal Mining

Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Xidməti, Kompüter İnsidentlərinə qarşı Mübarizə Mərkəzi (KIMM), SOC (Təhlükəsizlik Əməliyyatlar Mərkəzi) komandası MAS (Mərkəzləşdirilmiş Antivirus Sistemi) tərəfindən bir neçə dövlət qurumunda anomaliyaların aşkar edildiyini bildirdi: Kompüterlərdə “crypti.exe” adında  fayl antivirus tərəfindən şübhəli olaraq qeydə alınmışdı. Baş verən hadisə ilə bağlı "MR-Lab" idarə etmə sistemində yeni sorğu (VL-2) açılmış və şübhəlinin analizinə başlanılmışdır. İlkin araşdırmalar zamanı nüsxənin zərərli əməliyyatlar icra etmədiyi aşkar edilmişdir. Şübhəli parent prosesə məxsus pəncərə adını götürür və bunun əsasında kriptoqrafik məlumat generasiya edirdi. Şübhəlinin işə düşdüyü kompüterlərdə başqa izlərə rast gəlinmədiyi üçün açılan sorğu bağlanılmışdır. "crypti.exe" ilə bağlılığı olan yeni nüsxə bir çox dövlət qurumuna yoluxmuş, bu qurumlarda kritpo mədənçilik ilə məşğul olurdu. Sözü gedən analiz prosesindən bir neçə gün sonra laboratoriyamıza bəzi DQ-lərdə USB sürücülərdə anomaliyalar aşkarlandığı haqqında məlumat daxil olmuşdur. Bunun əsasında yeni sorğu yaradılmış və  araşdırmalara başlanılmışdır.

Report: Op.Universal-Mining_10D8BFD4C8EEAEF2F977138DF437BA3B1C9F9622.pdf

• “Universal Mining” əməliyyatı ilə ələ keçirdiyimiz zərərverciyə məxsus məlumat bazasında saxlanılan məlumatların araşdırılması zamanı ölkəmiz və dünya üzrə yoluxmuş kompüterlər, istifadəçilər və s. zərərvericiyə aid kritik informasiyalar ələ keçirilmiş, dövlət qurumlarından fəaliyyət göstərən zərərverici təmizlənmiş və ona aid hesablar tərəfimizdən yaradılan sorğular əsasında deaktiv edilmişdir. Bundan əlavə olaraq "Azstatenet" şəbəkəsində fəaliyyət göstərən qurumların zərərvericiyə məxsus bağlantı ünvanlarına qoşulmalarına məhdudiyyət gətirilmişdir.

1. Yoluxan dövlət qurumları (şirkətlər) habelə onlara aid istifadəçi məlumatları məxfi olduqları üçün raportda qeyd edilməmişdir.
2. Raportda kripto mədənçi-nin analizi aparılmamışdır
3. Yoluxma qeydə alınan dövlət qurumlarına lazımı tədbirlər haqqında məlumatlar göndərilmiş və kompüterlərdən zərərverici silinmişdir
4. Zərərvericiyə məxsus məlumat bazasından əldə edilən məlumatlar əsasında bir neçə ölkənin CERT mərkəzlərinə məlumat verilmiş və lazım olan materiallar paylaşılmışdır

Göstərilənlər məqalənin yazıldığı günə qədər zərərvericiyə məxsus məlumat bazasında qeydə alınmışdır;

• Zərərverici ümumillikdə 135 ölkədə 118079 kompüterə yoluxmuşdur
• Yoluxmaların 2485 -i Azərbaycan Respublikasına məxsusdur
• Ölkəmiz üzrə qeydə alınan yoluxmalar, 42 fərqli dövlət qurumunda aşkar edilmişdir (Mərkəzləşdirilmiş Antivirus Sisteminə qoşulmayan kompüterlər)
• Yoluxan ölkələrin siyahısı: Philippines, N/A, Egypt, India, Indonesia, Turkey, Slovenia, Armenia, Serbia, Korea, Republic of, Cyprus, Greece, Macedonia, the former Yugoslav Republic of, Lao People's Democratic Republic, Oman, Bulgaria, Saudi Arabia, Italy, Viet Nam, United States of America, Georgia, Libya, Iraq, Azerbaijan, Qatar, Kuwait, Mexico, Netherlands, Germany, Uzbekistan, Belgium, Ukraine, Brazil, Canada, Pakistan, United Arab Emirates, Russian Federation, Jordan, Montenegro, Malaysia, Argentina, Singapore, Spain, Poland, Belarus, Zimbabwe, Kazakhstan, Lithuania, Colombia, Peru, France, Costa Rica, United Kingdom, Rwanda, Bosnia and Herzegovina, Ireland, Switzerland, Palestine, State of, Ecuador, South Sudan, Lebanon, Bangladesh, Dominican Republic, Romania, Nepal, Taiwan, Province of China, Morocco, China, Malta, Afghanistan, Croatia, Thailand, Czech Republic, Norway, Slovakia, XK, South Africa, Latvia, Japan, Sri Lanka, Tanzania, United Republic of, Albania, Hungary, Denmark, Uganda, Malawi, Bahrain, Congo, Democratic Republic of the, Kyrgyzstan, Ghana, Finland, Algeria, Austria, Australia, Nigeria, Cambodia, Tunisia, Ethiopia, Mauritania, Kenya, Guatemala, Somalia, Mongolia, El Salvador, Chile, Benin, Israel, Sudan, Sweden, Guinea, Mozambique, Venezuela, Bolivarian Republic of, Portugal, Honduras, Burkina Faso, Hong Kong, Moldova, Republic of, Yemen, Antigua and Barbuda, Uruguay, New Zealand, Côte d'Ivoire, Barbados, Holy See, Tajikistan, Burundi, Senegal, Guam, Chad, Estonia, Maldives, Togo, Gabon, Myanmar, Bolivia, Plurinational State of

Indicators of Compromises

rootunv.com

rootunvdwl.com

rootuniversal.com

SHA-1:

97F2C418673F270F9164A9DFD7A3049BF87FA2B9

0A195CFA933B79E0231CFADEA2AA5ACED4C8587C

B598003F22391ECFFCFCCC0E3C79C7F9E4B5ACF5

6454D5F4285269D17F571D569AE5D55BC103C99A

D25340AE8E92A6D29F599FEF426A2BC1B5217299

D532A01254CF9E0229D3C5803B78FF7C9B0CB8D3

9D6E38B0248D99207FBE561FF3BD88D68B299265

BF4EF354BD50C0872B74065D5805FD6FE4BBBC7A

9FF09A204DF9EEE05276117C3A532D40D0AA8231

10D8BFD4C8EEAEF2F977138DF437BA3B1C9F9622

0C29812B26D20F4FB609B65E7417CF96E410683C

B496C335FFDF2D3047EDAB3452FEBFB1908FD368

90F8962D975546D3E879F5645953C54D6611E11C