Бардык инциденттер максаттуу уюмдардын даректеринен жалган электрондук каттарды жиберүү менен коштолду. Зыяндуу документтер Microsoft Windowsтун легитимдүү элементтерине окшоштурулган. Айрыкча, сентябрда жиберилген каттар мобилдик байланыш тарифтерине кызыккан потенциалдуу кардарлардан келген билдирүүлөрдүн түрүндө болгон.
Ички файлдарды ачканда, колдонуучулар макросун активдештирүүнү сураган сүрөттү көрүштү. Бул операциядан кийин, көңүлдү буруу үчүн, башка провайдерден алынган тарифтик план көрсөтүлдү, ал эми чындыгында максаттуу зыяндуу код орнотулду.
Текшерүү көрсөткөндөй, скрипт аркылуу жүктөлгөн бэкдор (LuciDoor деп аталган) C++ тилинде иштелип чыккан жана C2ге түздөн-түз же системалык проксилер жана башка серверлер аркылуу туташууга мүмкүнчүлүк берет. Анын функцияларына жабыркаган түзмөктөн маалымат жыйноо, кошумча программаларды жүктөө жана маалыматтарды эксфильтрациялоо кирет.
Кыргызстандын телекоммуникация секторуна болгон жаңы чабуулдар ноябрда катталды. Жаман ниеттүүлөр жулунганды өзгөртүштү, бирок кабыл алуучунун дареги менен дал келбеген аталышты көрсөтүү менен ошол эле катаны кетиришти. Бул жолу Windows-бэкдор MarsSnake колдонулду, ал мурда Сауд Аравиясында шпиондук чабуулдарда байкалган.
MarsSnake бэкдору жөнөкөй жөндөө менен айырмаланат: өзгөртүүлөр жүктөөчүдө параметрлерди жаңыртуу аркылуу киргизилиши мүмкүн, бул аткаруучу файлды кайра чогултууну талап кылбайт. Орнотулгандан кийин, зыяндуу программа системалык маалыматтарды жыйнайт, уникалдуу идентификатор түзөт жана маалыматтарды C2ге жиберет.
«Кызыктуусу, өткөн жылдагы чабуулдарда зыяндуу документтер орус тилинде болгон, ал эми жөндөөлөр араб, англис жана кытай тилдеринде колдонулган», — деди PT ESC TI адиси Александр Бадаев. — Биз ошондой эле файлдарда кытай тилин колдонуу жөнүндө маалыматты көрсөткөн талааны таптык. Мүмкүн, жаман ниеттүүлөр тиешелүү жөндөөлөрү бар Microsoft Office пакетин колдонушкан же кытай тилиндеги документ шаблонун колдонушкан».
Январь чабуулдарында Тажикстанга зыяндуу файлдардын ордуна шилтемелер колдонулду. Макросун активдештирүүнү сураган сүрөт кайра иштелип, текст англис тилинде болду. Максаттуу зыяндуу программа катары кайрадан LuciDoor, бирок башка конфигурацияда болду.
