חברת סייבר ישראלית חשפה קרטל סייבר בינלאומי שתקף גופי ענק פיננסיים
מאת:
מערכת Telecom News, 5.1.22, 19:49
סכנה מקבוצת ההאקרים Elephant Beetle נשקפה גם לארגונים ישראליים. איך פועל קרטל הסייבר שלב אחר שלב?
חברת הסייבר
סיגניה (
Sygnia) הישראלית, חברת הסייבר של
Team8 ו-
Temasek, חשפה רשת סייבר בינלאומית שתקפה גופים וארגונים מהמגזר הפיננסי באמריקה הלטינית בשנים האחרונות. קבוצת ההאקרים, שמכונה
Elephant Beetle, הסתננה לתוך ארגונים וגנבה מהם כספים הנאמדים במיליוני דולרים, זאת ע"י החדרת עסקאות מזויפות למחזור הפעילות הסדיר. להערכת החברה, הפריצה לגופים הפיננסיים החלה לפני יותר מ-4 שנים.
בחברה מציינים, שעל אף שההאקרים התמקדו בעיקר באמריקה הלטינית, סכנה נשקפה גם לגופים ישראלים, אמריקאים וזרים אחרים הפועלים באותן מדינות. כך לדוגמה, צוותי ה-
IR (
Incident Response) של החברה גילו פריצה לפעילות של חברה מארה"ב הפועלת באמריקה הלטינית. לכן, מומלץ לארגונים הפועלים שם לעמוד על המשמר ואף לפעול פרואקטיבית ולצוד (
Threat Hunting) פעילויות דומות באמצעות תיאור שיטות הפעולה והמזהים המופעים בדו"ח.
בדו"ח, שפרסמה החברה מפורטים שלבי הזיהוי, האיתור וניטרול של פעילות הקבוצה ע"י צוות התגובה לאירועי סייבר (
IR) שלה. בין היתר, החוקרים הישראליים חשפו את שיטת הפעולה של התוקפים, ניתחו לעומק את היכולות שלהם וסיפקו תובנות, שניתן לפעול לפיהן, אינדיקטורים לפריצה (
IOC) והנחיות להגנה מפני המתקפות.
אריה זילברשטיין, (בתמונה משמאל),
VP Incident Response בסיגניה: "התוקפים למדו את המערכות הפיננסיות של הקורבנות והשתמשו בארסנל רחב מאוד של כלי תקיפה כדי לפעול ברשת למשך פרקי זמן ארוכים מבלי שיבחינו בהם. באמצעות הנגישות הרחבה לרשת וההבנה הפיננסית, הם, בסופו של דבר, הצליחו לגנוב מיליוני דולרים מארגונים רבים באופן שיטתי ומתמשך לאורך שנים. זו מתקפה גאונית בפשטותה, שמבוססת על טקטיקה שמאפשרת לתוקפים לפעול בחשאיות בתוך הארגון, ובמקרה הזה גם ללא צורך לפתח ולממש חולשות אבטחה ייעודיות.
מדובר בקבוצה מיומנת ביותר במתקפות אפליקטיביות, ובפרט אפליקציות
Java ישנות ולא מתוחזקות, שפועלות בשרתים מבוססי
Linux כאמצעי לכניסה הראשונית לרשת. בשילוב עם הידע הפיננסי האופרטיבי הרחב, שצברה הקבוצה במהלך הפעילות שלה, ומשכי השהייה הארוכים ברשתות הקורבנות, אפשר לומר, שמדובר בקבוצת תקיפה מתוחכמת למדי".
כך פעל קרטל הסייבר: שלב אחר שלב
אמנון קושניר, חוקר אבטחה ו-
Incident Response בסיגניה: "פעילות של קבוצת
Elephant Beetle מבוססת על דפוס פעולה מאורגן וסדור.
בשלב הראשון, שיכול להימשך עד חודש, הקבוצה מתמקדת בבניית יכולות תפעולית ברשת של הקורבן שנפרצה. הקבוצה לומדת את הסביבה ושותלת דלתות אחוריות (
Backdoors), ובו זמנית מתאימה את הכלים שלה לעבודה ברשת של הקורבן.
לאחר מכן, הקבוצה משקיעה מספר חודשים בלמידת הסביבה של הקורבן, תוך התמקדות בפעולות הפיננסיות, ומאתרת את הפגמים, שקיימים במערכת. במהלך שלב זה, היא בוחנת את התוכנה ואת התשתית של הקורבן כדי להבין את התהליך הטכני העומד בבסיסן של עסקאות פיננסיות לגיטימיות.
בשלב הבא הקבוצה יכולה לשתול עסקאות מזויפות לתוך זרם העסקאות הלגיטימיות. עסקאות אלו בנויות ומעוצבות להיראות כלגיטימיות, אך, למעשה, מושכות מהקורבן סכומי כסף הולכים וגדלים בלי שאף אחד ישים לב. על אף שסכום הכסף, שנגנב בכל עסקה, עשוי להיראות זניח, הקבוצה מבצעת עסקאות רבות בסכומים מצטברים של מיליוני דולרים לפני שהיא ממשיכה הלאה.
אם בזמן התהליך נחשפת ונחסמת פעילות ההונאה, הקבוצה פשוט שומרת על פרופיל נמוך במשך מספר חודשים ולאחר מכן חוזרת ומתמקדת במערכת אחרת".
אריה זילברשטיין: "במקרה אחד זיהינו, שפעילות הקבוצה נמשכה על פני למעלה מ-3 שנים, ובמהלך החקירה הצלחנו למצוא עדויות למספר מבצעי גניבה וזיוף, שיצאו לפועל באמצעות הנגישות לרשת לאורך השנים. במהלך החקירה הצלחנו לזהות את כל הכלים, שהתוקף השריש בכל רחבי הארגון, ולהסיר אותם במבצע מתוזמן בבת אחת, תוך כדי שאנו מונעים ממנו לחזור בשיטות ובניצול חולשות אחרות בארגון".
הדו"ח המלא -
כאן.