Microsoft Fidyə Proqramlarının Notariusunu Çökdürdü

Nə Baş Verdi

Microsoft, kiber təhlükəsizlik dünyasında səssiz, lakin dərin bir əməliyyata imza atdı. Texnologiya nəhəngi, fidyə proqramı dəstələrinin illərdir istifadə etdiyi bir infrastrukturu, bir növ "rəqəmsal notarius" xidmətini çökdürdüyünü elan etdi. Bu servis, kompüterinizə sızmağa çalışan zərərli proqramlara saxta bir "etibarlı" möhürü vururdu. Yəni, kompüterinizin təhlükəsizlik sistemlərini aldatmaq üçün hazırlanmış bir saxtakarlıq mərkəzi idi.

Təsəvvür edin ki, evinizə bir nəfər gəlir və qapıdakı mühafizəçiyə rəsmi, möhürlü bir şəxsiyyət vəsiqəsi göstərir. Mühafizəçi də vəsiqənin saxta olduğunu anlamayıb onu içəri buraxır. Məhz "Cryp-Sign" adı ilə tanınan bu qanunsuz servis, kiber cinayətkarların virusları üçün tam olaraq bunu edirdi. Viruslara, sanki Microsoft və ya başqa bir qanuni proqram təminatı şirkəti tərəfindən istehsal edilmiş kimi görünən rəqəmsal sertifikatlar verirdi. Bu sayədə, ən diqqətli istifadəçilərin belə kompüterlərinə sızmağı bacarırdılar.

Microsoft-un Təhdid Kəşfiyyatı qrupu bu xidməti aylardır izləyirdi. Verdikləri açıqlamaya görə, bu, sadəcə bir veb saytı bağlama əməliyyatı deyil. Xidmətin serverləri müsadirə edildi, istifadə etdikləri rəqəmsal sertifikatlar ləğv edildi və bu strukturu idarə edən qrupların şəxsiyyətlərinə dair vacib məlumatlar əldə edildi. Bu, fidyə proqramı ekosisteminə vurulmuş ciddi bir zərbədir.

Ələ Keçirilən Məlumatlar

Bu xəbərdə klassik "bu qədər milyon istifadəçinin məlumatı oğurlandı" vəziyyəti yoxdur. Çünki bu əməliyyat, məlumat oğurlayan bir qrupu deyil, oğrulara qıfıl və açar satan dükanı hədəf aldı. Yəni Cryp-Sign xidmətinin özü birbaşa sizin şəkillərinizi və ya şifrələrinizi oğurlamırdı. Ancaq bu xidmətin "möhürlədiyi" fidyə proqramları məhz bunu edirdi.

Fidyə proqramları kompüterinizə daxil olduqda iki əsas pislik edir. Birincisi, bütün vacib fayllarınızı (şəkillər, sənədlər, videolar) çox güclü bir şifrə ilə kilidləyir və açmaq üçün sizdən pul, adətən də Bitcoin tələb edir. İkincisi, və bəlkə də daha pisi, fayllarınızı kilidləmədən əvvəl bir nüsxəsini öz serverlərinə köçürür. Əgər fidyəni ödəməsəniz, bu şəxsi məlumatlarınızı internetdə yaymaqla hədələyirlər. Buna "ikiqat şantaj" deyilir.

Buna görə də, Cryp-Sign xidmətinin çökdürülməsi ilə birbaşa ələ keçirilən bir istifadəçi məlumatı olmasa da, bu xidmətdən istifadə edərək saysız-hesabsız şirkətə və fərdi istifadəçiyə sızan təcavüzkarların oğurladığı məlumatlar çox böyükdür. Bunlar arasında şirkətlərin maliyyə qeydləri, müştəri siyahıları, şəxsi sağlamlıq məlumatları, ailə şəkilləri və bir çox digər həssas məlumatlar var. Bu cür hücumlarla bağlı aktual xəbərləri izləmək üçün Məlumat Sızıntısı Xəbərləri kimi mənbələri mütəmadi olaraq yoxlamaq faydalıdır.

Hücum Necə Həyata Keçirildi

Hücumun özü, yəni Cryp-Sign-ın işləmə məntiqi olduqca ağıllı və bir o qədər də təhlükəli idi. Normalda bir proqram hazırladığınız zaman, əməliyyat sistemlərinin (məsələn, Windows) bu proqrama etibar etməsi üçün onu "kod imzalama sertifikatı" deyilən bir şeylə imzalayırsınız. Bu, proqramın sizdən gəldiyini və yolda heç kimin ona müdaxilə etmədiyini təmin edən rəqəmsal bir möhürdür.

Kiber cinayətkarların ən böyük problemlərindən biri də budur. Yazdıqları viruslar imzasız olduğu üçün antivirus proqramları və əməliyyat sistemləri tərəfindən dərhal aşkarlanır. Məhz burada Cryp-Sign dövriyyəyə girirdi. Bu xidmət, bir şəkildə ələ keçirilmiş və ya saxta məlumatlarla yaradılmış yüzlərlə rəqəmsal sertifikata sahib idi. Fidyə proqramı dəstələri, hazırladıqları virusu Cryp-Sign'a yükləyir, xidmət də bu virusa etibarlı kimi görünən bir rəqəmsal imza vurub geri qaytarırdı.

Artıq virusun üzərində "etibarlı" möhürü var idi. Bu imzalanmış virus, adətən bir e-poçtun əlavəsindəki saxta bir faktura, bir karqo izləmə faylı və ya saxta bir proqram yeniləməsi kimi üsullarla qurbanlara göndərilirdi. İstifadəçi bu fayla kliklədikdə, Windows-un və ya antivirus proqramının təhlükəsizlik ekranı ya heç xəbərdarlıq vermir, ya da "Təsdiqlənmiş Nəşrçi" xəbərdarlığı göstərərək istifadəçini aldadırdı. İstifadəçi "onsuz da təhlükəsizdir" deyə düşündüyü an, əslində bütün sistemini kiber cinayətkarlara təslim etmiş olurdu. Microsoft-un əməliyyatı məhz bu saxta notarius şəbəkəsini tamamilə aradan qaldırdı.

Kimlər Təsir Altındadır

Bu xidmətin müştəriləri, yəni ondan xidmət alanlar, kiber cinayət dünyasının ən təhlükəli qruplarından bəziləridir. Microsoft, xüsusilə LockBit, Conti (artıq aktiv olmasa da törəmələri davam edir) və BlackCat kimi böyük fidyə proqramı dəstələrinin bu xidmətdən aktiv şəkildə istifadə etdiyini bildirdi. Bu qruplar, dünya miqyasında xəstəxanaları, məktəbləri, dövlət qurumlarını və minlərlə kiçik və böyük şirkəti hədəf almaları ilə tanınır.

Beləliklə, dolayı yolla təsirlənənlər əslində hamımızıyıq. Bu qrupların hücumları üzündən xəstəxanalarda görüşlər ləğv edildi, şirkətlər istehsalata ara vermək məcburiyyətində qaldı və insanların şəxsi məlumatları qaranlıq vebdə satışa çıxarıldı. Cryp-Sign-ın aradan qalxması, bu qrupların yeni hücumlar təşkil etməsini çətinləşdirəcək. Artıq viruslarını qanuni göstərmək üçün yeni və daha zəhmətli yollar tapmaq məcburiyyətindədirlər. Bu da onlara həm vaxt, həm də pul itkisinə səbəb olacaq. Bir sözlə, bu əməliyyat sayəsində potensial olaraq minlərlə hücum daha baş vermədən qarşısı alına bilər.

Nə Edə Bilərsiniz

"Yaxşı, Microsoft nələrisə çökdürüb, amma bunun mənim üçün nə mənası var?" deyə soruşa bilərsiniz. Tamamilə haqlı bir sual. Budur sizə özəl, klişe olmayan bəzi tövsiyələr:

• Antivirusunuzun "Reputasiya Yoxlaması" Xüsusiyyətini Aktivləşdirin: Əksər müasir antivirus proqramları təkcə virus imzalarını deyil, həm də bir faylın və ya sertifikatın nə qədər müddətdir mövcud olduğunu, nə qədər geniş istifadə edildiyini də yoxlayır. Cryp-Sign kimi xidmətlər davamlı olaraq yeni və şübhəli sertifikatlar istehsal etdiyi üçün bu "reputasiya əsaslı qoruma" xüsusiyyəti saxta imzaları tuta bilər. Parametrlərinizi yoxlayıb bu xüsusiyyətin aktiv olduğundan əmin olun.
• Windows SmartScreen'i Əsla Bağlamayın: Windows-un daxilində olan SmartScreen xüsusiyyəti, məhz bu cür saxta imzalı, lakin şübhəli görünən tətbiqlərə qarşı bir müdafiə qatıdır. Bəzən bezdirici xəbərdarlıqlar versə də, bu əməliyyat onun nə qədər həyati olduğunu bir daha göstərdi. Onu mütləq açıq saxlayın.
• "Təsdiqlənmiş Nəşrçi" Adına Diqqət Edin: Bir proqram quraşdırarkən qarşınıza çıxan təhlükəsizlik xəbərdarlığında "Təsdiqlənmiş Nəşrçi" (Verified Publisher) yazısını gördükdə dərhal etibar etməyin. Nəşrçinin adına baxın. Məsələn, "Microsoft Corporation" əvəzinə "Microsft Corp" və ya mənasız bir ad ("1_ClickSoftware LLC" kimi) görürsünüzsə, bu böyük bir təhlükə işarəsidir. Şübhəyə düşdüyünüz an quraşdırmanı ləğv edin.
• Keçmiş Sızıntıları Yoxlayın: Bu cür hücumlar daim baş verir və bəlkə də fərqində olmadan məlumatlarınız başqa bir sızıntıda ələ keçirilmiş ola bilər. Bu məlumatlar, sizə xüsusi fişinq e-poçtları göndərmək üçün istifadə edilə bilər. Məlumat Sızıntısı Sorğusu vasitələrindən istifadə edərək e-poçt ünvanınızın əvvəlki sızıntılarda olub-olmadığını yoxlamaq, proaktiv bir müdafiə addımıdır.

Şirkət Nə Deyir

Microsoft, əməliyyatla bağlı yayımladığı bloq yazısında olduqca aydın bir mövqe nümayiş etdirdi. Microsoft-un Təhdid Kəşfiyyatı Mərkəzinin Vitse-Prezidenti Klint Uotts, "Bu əməliyyat, kiber cinayətkarların ən çox güvəndiyi vasitələrdən birini əllərindən aldı. Biz onları daha görünən, daha səs-küylü və daha asan aşkarlanan olmağa məcbur edirik," dedi. Uotts, bunun birdəfəlik bir qələbə olmadığını və kiber cinayət infrastrukturlarına qarşı mübarizələrinin fasiləsiz davam edəcəyini də əlavə etdi. Açıqlamada, əməliyyatın ABŞ və Avropadakı hüquq-mühafizə orqanları ilə əlaqələndirilmiş şəkildə həyata keçirildiyi də vurğulandı. Bu, gələcəkdə bu xidməti idarə edən şəxslərə qarşı hüquqi proseslərin də başlaya biləcəyinin bir işarəsidir.

Mənbə

https://thehackernews.com/2026/05/microsoft-takes-down-malware-signing.html