Бардык учурларда жаман ниеттүүлөр электрондук почта аркылуу жиберилген каттарды колдонушту. Потенциалдуу кардарлардан келген билдирүүлөр катары берилген каттар мобилдик байланыштын иштеп жаткан тарифтери боюнча жалган суроолорду камтыды. Кошумча файлды ачуу макросун активдештирүү боюнча сураныч менен сүрөттү көрсөтүп, андан кийин курмандык жалган тарифтик планды көрдү, ал эми зыяндуу программалык камсыздоо орнотулуп жатты.
Эксперттер жүктөлгөн бэкдор, LuciDoor деп аталган, C++ тилинде жазылганын жана башкаруучу серверлерге түздөн-түз гана эмес, прокси-серверлер аркылуу да туташууга мүмкүнчүлүк берерин аныкташты. Анын функционалы жабыркаган түзмөктүн маалыматтарын топтоо жана маалыматтарды эксфильтрациялоону камтыйт.
Кыргызстандын телекоммуникацияларына болгон жаңы чабуулдар ноябрда аныкталды, жаман ниеттүүлөр документти жулунтуп өзгөртүштү, бирок окшош катаны кетиришти: анда кабыл алуучунун туура эмес аты көрсөтүлгөн. Бул жолу хакерлер MarsSnake бэкдорун колдонушту, ал мурда Сауд Арабиясында шпиондук чабуулдарда байкалган.
MarsSnakeтин өзгөчөлүгү анын жөнөкөй жөндөөлөрүндө: өзгөртүүлөр жүктөөчү параметрлерди жаңыртуу аркылуу киргизилиши мүмкүн, бул аткаруучу файлды кайрадан жыйноо зарылдыгын жокко чыгарат. Бэкдор орнотулгандан кийин, ал системалык маалыматтарды топтоого киришет жана уникалдуу идентификаторду башкаруучу серверге жиберет.
PT ESC TI эксперт Александр Бадаевдин белгилөөсү боюнча, өткөн жылдагы чабуулдарда зыяндуу документтер орус тилинде болгон, бирок жөндөөлөр араб, англис жана кытай тилдерин камтыган. Кээ бир файлдарда кытай тилинин колдонулушун көрсөтүүчү талаа табылган, бул жаман ниеттүүлөрдүн тиешелүү параметрлер менен Microsoft Office пакетине ээ болушу мүмкүн экенин көрсөтөт.
Январь айындагы Тажикстандагы чабуулдарда зыяндуу кошумчалардын ордуна шилтемелер колдонулду жана текст англис тилинде берилди. Мақсаттуу зыяндуу программа катары кайрадан LuciDoor колдонулду, бирок башка конфигурацияда.
