התגלתה רוגלה מתוחכמת המצלמת פעולות במחשב ומאזינה למשתמשים
מאת:
מערכת Telecom News, 14.6.18, 11:28
כלי ריגול סייבר בעל אופי חמקני, שהתגלה לאחרונה, הופך מחשבים אישיים לנקודות האזנה, מה שמאפשר לתוקפים להאזין לשיחות ולצלם תמונות בעזרת המכשיר הפרוץ. רמת התחכום של הנוזקה, יכולות ההסוואה, השמדת הראיות שלה ואפשרויות השליטה הנרחבות שיש לה מרחוק באמצעות יותר מ-80 פקודות אפשריות, מרמזות על כך, שפותחה ע"י מדינה או ארגון שיש להם מספיק משאבים.
הנוזקה, ששמה
InvisiMole, פעילה כבר מ-2013 אך נחשפה רק לאחרונה, מה שנותן מעט מושג על האופי החמקני של ההתקפות.
מאפייני הנוזקה
צוינו ע"י חוקרים ב-ESET לאחר שזו התגלתה במחשבים באוקראינה וברוסיה. ככל הנראה, ההתקפה מכוונת ליעדים מאוד ספציפיים ורק כמה עשרות מחשבים הושפעו ממנה, אך המטרות הן מטרות בפרופיל גבוה והן בעלות ערך רב לתוקפים.
בחברת מסבירים, שהנוזקה הופכת את המחשב הפרוץ "למצלמת אבטחה המאפשרת לתוקפים לשמוע ולראות מה שמתרחש במשרדו של הקורבן, או בכל מקום אחר שבו יימצא המכשיר".
התוקפים, שעומדים מאחורי הקמפיין, הצליחו לטשטש את עקבותיהם בצורה טובה כל כך עד כדי כך, שהחוקרים לא בטוחים מי בדיוק עומד מאחורי
InvisiMole, אבל דבר אחד בטוח: האופי העוצמתי של הקמפיין ממצב אותו במקום מאוד גבוה יחד עם קמפיינים, שנוצרו ע"י הקבוצות המתוחכמות ביותר.
אופייה החמקני של רוגלת
InvisiMole מביא לכך, שהחוקרים עדיין לא בטוחים בנוגע לאופן בו הנוזקה מגיעה למכשירי היעד, וכרגע כל אפשרויות ההדבקה באות בחשבון, ביניהן גישה פיזית למחשב עצמו.
מה שידוע בנוגע לנוזקה זה, שהיא מוחבאת בתוך תוכנה, שמעוצבת כך, שתיראה כאילו היא מאפשרת תאימות בין אפליקציות שונות. הקובץ הזה, שמוסווה כך, שייראה כאילו הוא שייך למקום שהוא נמצא בו, הוא הקובץ ממנו פועלת רוגלת
InvisiMole, והוא זה המשמש לפריצה למערכת.
בנוסף לכך,
InvisiMole מסווה את עצמה מהקורבן ומצוותי אבטחת מידע באמצעות הצפנת המחרוזות, הקבצים הפנימיים, נתוני הקונפיגורציה ותקשורת הרשת שלה.
בתוך הנוזקה נמצא מודול הנקרא
RC2FM, שיוצר דלת אחורית לכלל המערכת ולכמה פקודות שונות אותן ניתן להריץ על המחשב הפרוץ לאחר שמתקבלת הנחיה כזאת מהתוקפים.
הנוזקה מסוגלת לצלם וידאו ממצלמת רשת, להקליט שמע באמצעות התקני הקלטת השמע של המכשירים ולצלם צילומי מסך של המחשב הפרוץ. החוקרים מציינים, שהנוזקה מסוגלת לצלם צילומי מסך של כל אחד מהחלונות הפתוחים בנפרד, מה שמאפשר לתוקפים לצלם צילומי מסך של תוכנות שרצות ברקע.
בנוסף, התוכנה מאפשרת לתוקף לפתוח, ליצור ולמחוק קבצים, לאחזר את כל המידע בנוגע למערכת ואף יותר מזה, כל זה תוך כדי שהתוקפים נזהרים שלא להשאיר עדויות לפעילותם.
את כל הנתונים האלה ניתן לייצא לפקודה ולשָׁרָת שליטה המנוהל ע"י התוקפים, וניתן לנצל אותם לכל מטרה שעלולה להיות שימושית עבור האחראים לקמפיין ריגול הסייבר הזה. התוקפים יכולים גם לעקוב אחר המיקום המדויק של המכשיר, טקטיקה שימושית במידה ומדובר במחשב נייד המועבר ממקום למקום.
זוזאנה חרומקובה, אנליסטית נוזקות ב-
ESET: "
InvisiMole היא רוגלה המסוגלת לעשות הכול, ויכולותיה העשירות מסוגלות להתחרות באלו של כלי ריגול אחרים בחוץ".
אמיר כרמי, מנהל טכנולוגיות בחברת
ESET בישראל: "
InvisiMole מסוגלת לסרוק רשתות אלחוטיות פתוחות במערכת הפרוצה. היא מתעדת נתונים כמו מזהה הרשת (
SSID) וכתובת ה-
MAC של נקודות הגישה האלחוטיות הגלויות. את הנתונים האלה ניתן להשוות לאחר מכן מול בסיסי מידע ציבוריים, מה שמאפשר לתוקפים לעקוב אחר המיקום הגיאוגרפי של הקורבן.
רמת התחכום של הנוזקה, יכולות ההסוואה, השמדת הראיות שלה ואפשרויות השליטה הנרחבות שיש לה מרחוק באמצעות יותר מ-80 פקודות אפשריות, מרמזות על כך, שפותחה ע"י מדינה או ארגון שיש להם מספיק משאבים לפתח ולעדכן פרויקט בסדר גודל כזה לאורך 5 שנים לפחות".
מכיוון שהקמפיין התגלה רק לאחרונה, ניתן לשער, שמפעיליו עדיין מבצעים מתקפות כנגד מטרות שנבחרו בקפידה. החוקרים פרסמו
רשימה מלאה של אינדיקטורים (IoC, Indicators of Compromise).