פורסם קמפיין התקיפה Dark Caracalהמיוחס לארגון הביטחון הכללי הלבנוני
מאת:
מערכת Telecom News, 28.1.18, 20:12
מטרות הקמפיין הן גנבת מידע וריגול. הוא נמשך כ-5 שנים, במהלכו נגנבו כמויות גדולות של מידע אישי וארגוני מאלפי נתקפים ב-21 מדינות. בוצעו תקיפות נגד מחשבים בעלי מערכות ההפעלה Windows, Linux ו-macOS ונגד מכשירים ניידים בעלי מערכת הפעלה אנדרואיד. מה שיטת הפעולה ומה הם הפוגענים, שחלקם נצפו לראשונה?
דווח, שלאחרונה פורסם דו"ח משותף לחברת
,Lookout שעוסקת באבטחת טלפונים ניידים ולארגון
EFF שעוסק, בין השאר, בזכויות דיגיטליות ובפרטיות. הדו"ח עוסק בקמפיין תקיפה, שקיבל את הכינוי
,Dark Caracal שמיוחס לארגון הביטחון הכללי הלבנוני. מטרות הקמפיין הן גניבת מידע וריגול.
קמפיין התקיפה נמשך כ-
5 שנים, במהלכו נגנבו כמויות גדולות של מידע, הן אישי והן ארגוני, מאלפי נתקפים ב-21 מדינות. המידע הגנוב כולל מסמכים, הקלטות
)הן של סביבת המשתמש והן שיחות בטלפון), תמונות, הודעות, אנשי קשר ופרטי גישה לחשבונות
.
הקמפיין פעיל, ככל הנראה, מ-2012. בין יעדי התקיפה ניתן, כאמור, למצוא נתקפים מכ-21 מדינות שונות, שביניהן מדינות בצפון אמריקה, אירופה, המזרח התיכון ואסיה. התקיפה כללה יעדים ממגזרים מגוונים הכוללים ממשל, צבא, ארגונים פיננסיים, גופי ייצור, ספקי שירותים ועוד.
עפ"י המידע המפורט בדו"ח, ישראל אינה מוזכרת כאחת המדינות הנתקפות. יחד עם זאת, כפי שצוין, הקמפיין מיוחס לגוף בטחוני לבנוני ולפיכך עלול לפעול גם נגד יעדים ישראליים.
בקמפיין הנוכחי בוצעו תקיפות כנגד מחשבים בעלי מערכות ההפעלה
Windows,
Linux ו-
macOS. כן נתקפו מכשירים ניידים בעלי מערכת ההפעלה אנדרואיד. הוזלגו לפחות
GB81 של מידע, מתוכם כ-60% מיישומי אנדרואיד והשאר מיישומי מערכות הפעלה שולחניות.
שיטת הפעולה
לקמפיין היו מספר שיטות פעולה לצורך השגת המידע:
משלוח הודעות דיוג כמסרים בפייסבוק או בוואטסאפ, שהובילו לשרת המשמש לתקיפות מסוג
Watering Hole. משרת זה בוצעה הורדה של תוכנה טרויאנית למכשיר אנדרואיד, או הפניה לאתר דיוג המשמש להשגת נתוני הגישה לאתרים גוגל, פייסבוק או טוויטר, באמצעות התחזות לאתר הנראה דומה מאוד לעמוד ההזדהות של אתרים אלה.
לחילופין, ההודעות מוליכות ישירות לאתר הדיוג. שיטה נוספת הייתה התקנת היישומים הטרויאניים באמצעות נגישות פיזית למכשיר אנדרואיד של היעד.
במסגרת הקמפיין, היה שימוש גם בדיוג ממוקד, שכלל הודעות דוא"ל עם קבצים מצורפים, שבתוכן פקודות מאקרו זדוניות שאפשרו את התקנת הפוגענים הרצויה. לא דווח על שימוש של הקמפיין בפגיעויות
Zero Day.
אודות הפוגענים
הקמפיין השתמש במקבץ כלים, חלקם מוכרים וחלקם נצפו לראשונה בקמפיין זה.
בין הכלים המוכרים, סוס טרויאני המכונה
Bandook RAT התוקף מערכות הפעלה מסוג
Windows. בין יכולותיו של
Bandook: שימוש במצלמת ה-
Web של הנתקף, הקלטת אודיו, ביצוע מניפולציות על דפדפן
Chrome, העלאת קבצים, השתתפות בתקיפת
DDoS, כתיבה ל-
registry כדי לשמור על שרידות ועוד. עפ"י מקורות שונים, פוגען זה פעיל כבר מעל לעשור כאשר קיימת גרסה חינמית וגרסה מתקדמת בתשלום.
כלי מוכר נוסף הוא וריאנט של הפוגען המוכר
FinFisher. מדובר במוצר מסחרי המיועד לשימוש גורמי אכיפת חוק.
נעשה שימוש גם בסוס טרויאני ייחודי בשם
CrossRAT, שתוקף מערכות הפעלה מסוג
Windows, לינוקס ו-
macOS. הפוגען מסוגל לבצע צילומי מסך, להריץ קבצי
DLL, לכתוב ל-
registry כדי לשמור על שרידות ב-
Windows ועוד. כדי להשיג שרידות על העמדה הנתקפת בלינוקס, הפוגען כותב קובץ
autorun. שרידות ב-
macOS מושגת באמצעות התקנת
agent בתיקיית
Launch agents כדי לוודא, שהוא מופעל גם לאחר ביצוע אתחול של העמדה.
בתקיפות על טלפונים ניידים בעלי מערכת הפעלה
אנדרואיד שתלו פוגען המכונה
Pallas בתוכנות הנחזות כיישומים לגיטימיים להעברת מסרים מיידים כמו
Whatsapp,
Threema,
Primo,
Signal ו-
Plus Messenger וכן בשירותי אבטחה של שימוש ב-
Proxy וב-
VPN כמו
Psiphon VPN ו-
Orbot TOR Proxy. כמו כן, בוצעה התחזות לאפליקציות נוספות בחנות הרשמית של גוגל כמו
Flash Player ו-
Google Play Push.
דרכי התמודדות
מומלץ להימנע מהתקנת תוכנות למכשירים סלולריים מאתרים, שאינם החנויות הרשמיות של מערכת ההפעלה (אנדרואיד -
Google Play, אפל -
AppStore).
מומלץ לגלוש לאתרים של רשתות חברתיות מקישור ששומרים כמועדף (
Favorite), ולא להתפתות לקישורים המגיעים במסרים שונים, גם אם השולח מוכר.
קיימות שיטות רבות להטעות משתמשים באמצעות קישורים הנחזים כמוכרים, ובעצם מפנים לאתרים אחרים. במקרה של ספק יש לבדוק היטב את התעודה הדיגיטלית של האתר.
הדו"ח המלא של Lookout -
כאן.