ארה"ב חשפה מידע על מערך תקיפה של קבוצה המזוהה עם צפון קוראה המכונה Hidden Cobra
מאת:
מערכת Telecom News, 18.6.17, 18:38
הקבוצה נוהגת לתקוף מערכות הפעלה של מיקרוסופט, שאינן נתמכות עוד. הפוגען מכונה DeltaCharlie.
ארה"ב
פרסמה מידע לגבי תשתית תקיפה, ששימשה לתקיפת
ארגונים ממגזרים שונים כולל מדיה, תעופה וחלל, פיננסים ותשתיות קריטיות שונות בארה"ב ובכל רחבי העולם של קבוצה המזהה עם צפון קוריאה. הפעילות שזוהתה החלה ב-2009. הכינוי, שהוענק לקבוצה העומדת מאחורי פעילות זו הוא:
Hidden Cobra
הפעילות הנ"ל דווחה ע"י ארגונים שונים תחת השמות
Lazarus Group או
Guardians of Peace.
הקבוצה עושה שימוש בכלים שונים כולל בוטנטים למטרות
DDOS, סוסים טרויאניים לגישה מרחוק (
RATs),
Keyloggers להקלטת הקשות מקלדת, ותוכנות למחיקת עמדות (
WIPERS).
הקבוצה עושה שימוש גם בכלים כגון
,Destover ,Wild Positron/Duuzer ,Hangman ותולעת מבוססת
,SMB ששימשה בעבר לתקיפת חברת בידור גדולה.
הקבוצה נוהגת לתקוף מערכות הפעלה של
מיקרוסופט, שאינן נתמכות עוד, משום שמערכות אלו כוללות פגיעויות רבות זמינות לניצול, וכן ניתן לנצל את תוכנת
Adobe Flash להשגת הנגישות הראשונית למחשבים המותקפים.
בין הפגיעויות שהקבוצה ניצלה בעבר:
·
CVE-2015-6585: Hangul Word Processor Vulnerability
·
CVE-2015-8651: Adobe Flash Player 18.0.0.324 and 19.x Vulnerability
·
CVE-2016-0034: Microsoft Silverlight 5.1.41212.0 Vulnerability
·
CVE-2016-1019: Adobe Flash Player 21.0.0.197 Vulnerability
·
CVE-2016-4117: Adobe Flash Player 21.0.0.226 Vulnerability
הפוגען
,DeltaCharlie שבשימוש הקבוצה, יכול לייצר מתקפות מניעת שירות מבוזרות באמצעות הפרוטוקולים
DNS,
NTP
ו-CHARGEN
.
הפוגען מופעל כשירות תחת
SVCHOST ויכול להוריד קוד הרצה, לשנות את תצורתו, לעדכן את קבצי הריצה שלו ולבצע תקיפות מניעת שירות.
פרטים נוספים -
כאן.
לאור העובדה, שהכתובות בקובץ מייצגות עמדות לגיטימיות, שהודבקו ע"י הפוגען, אך ממשיכות לפעול כרגיל ללא ידיעת בעליהן על עצם ההדבקה, ייתכן שחלק מהתעבורה מכתובות אלו תתברר כלגיטימית.
כמו כן ייתכן, שהכתובות המצוינות בקובץ תופענה בלוגים הן ככתובות מקור והן ככתובות יעד לתעבורה.
מומלץ לעדכן את התוכנות
Adobe Flash ו-
Microsoft Silverlight לגרסאות העדכניות ביותר. אם לא עושים שימוש בתוכנות אלו, מומלץ להסירן.
אגב, אדובי
פרסמה היום עדכוני אבטחה ל-4 מוצרים. בנוסף, מיקרוסופט
פרסמה שלא כהרגלה עדכוני אבטחה
למערכות שאינן נתמכות (End of Life) בנוסף לעדכונים שגרתיים למערכות הנתמכות. בפרסום באתר החברה נכתב, שסיבה לכך היא רמת סיכון גבוהה יותר כתוצאה מזיהוי פעילות של שחקנים מדינתיים ולאור גילויים, שנחשפו לאחרונה.