קבוצת האקרים תוקפת דיפלומטים באמצעות תוכנת Adobe Flash Player מזויפת
מאת: מערכת Telecom News, 10.1.18, 13:59
 
כיצד הנוזקה החדשה מנצלת את Adobe Flash? מה מומלץ לארגונים לעשות?
 
חברת אבטחת המידע ESET, זיהתה נוזקה חדשה בה משתמשת קבוצת טורלה (Turla), קבוצת האקרים, שמיוחסת לרוסיה ואחראית לתקיפות רבות בעבר.
 
גם הפעם התקיפות מכוונות בדייקנות לדיפלומטים וארגונים פוליטיים במזרח אירופה. הכלי החדש גורם לקורבנותיו להתקין נוזקה ממה שנראה כמו האתר של Adobe, כדי לחלץ מידע רגיש מהמטרות הפוטנציאליות של קבוצת טורלה.
 
קבוצת טורלה כבר השתמשה בעבר בתוכנות מזויפות להתקנת Flash Adobe כדי לשתול את אחת מהדלתות האחוריות שלהן, אך זו הפעם הראשונה בה הורדת התוכנה מתבצעת מכתובות URL וכתובות IP לגיטימיות של Adobe.
 
עם זאת, מסתבר, שהנוזקה של טורלה לא פגעה באף אחד מהעדכונים הלגיטימיים של נגן ה-Flash, וכן שאין קשר בינה ובין פרצה ידועה כלשהי במוצרי Adobe.
 
כיצד הנוזקה מנצלת את Adobe Flash?
נמצא, שלא רק שהנוזקה החדשה הזו ארוזה בתוך תוכנת התקנה לגיטימית של נגן ה-Flash, אלא גם נראה, שהיא מגיעה מהכתובת adobe.com.
 
מנקודת המבט של משתמש הקצה, כתובת ה-IP המרוחקת שייכת ל-Akamai, רשת הפצת התוכן (Content Delivery Network, CDN) הרשמית בה Adobe משתמשת כדי להפיץ את תוכנת ההתקנה הלגיטימית לנגן ה-Flash שלה.
 
עם זאת, בבדיקה קפדנית יותר נמצא, שתוכנת ההתקנה המזויפת ל-Flash ביצעה בקשת GET כדי לחלץ מידע רגיש מהמערכות שנפרצה זה עתה.
 
מנגנון הניטור של החברה הצליח לחשוף, שתוכנות ההתקנה גנבה נתונים לכתובות get.adobe.com מאז יולי 2016. שימוש בכתובות אינטרנט לגיטימיות לגניבת נתונים הופכת את זיהוי התנועה להרבה יותר קשה עבור חברות האבטחה, מה שמדגיש את רצונה של קבוצת טורלה לשמור על פרופיל נמוך ככל האפשר.
 
עדויות למעורבותה של קבוצת טורלה
החברה בטוחה בכך, שהמתקפה האחרונה משויכת לקבוצת טורלה מכמה סיבות.
ראשית, חלק מתוכנות ההתקנה המזויפות מותירות אחריהן דלת אחורית הנקראת Mosquito, שכבר זוהתה בעבר כנוזקה של קבוצת טורלה.
 
שנית, חלק משרתי השליטה והבקרה המקושרים לדלתות האחוריות האלו משתמשים בכתובות SATCOM IP, ששויכו בעבר לקבוצת טורלה.
 
בנוסף, קיימים כמה מאפיינים משותפים לנוזקה הזו ולמשפחות נוזקות אחרות בהן משתמשת קבוצת טורלה.
 
 
ז'אן-יאן בוטין, חוקר נוזקות בכיר בחברת ESET: "לטורלה יש דרכים מתוחכמות לגרום למשתמשים להוריד תוכנות הנראות אותנטיות, והאופן בו הם מסתירים את תנועת הרשת הזדונית שלהם הוא חכם.
 
גם המשתמשים המנוסים ביותר עלולים ליפול בפח ולהוריד קובץ זדוני, שנראה כאילו הוא מגיע מ-Adobe.com. זאת, מכיוון שכתובות ה-IP וה-URL מחקות את התשתית הלגיטימית של Adobe.
 
מכיוון שכל ההורדות אותן ראינו בוצעו באמצעות פרוטוקול HTTP, מומלץ לארגונים לאסור הורדה של קבצים דרך אתרים לא-מאובטחים. הקפדה על עיקרון זה תפחית את האפקטיביות של המתקפות של קבוצת טורלה, מכיוון שקשה יותר ליירט ולשנות נתונים המועברים באופן מוצפן בין מכונת קצה ובין שרת מרוחק.
 
שנית, בדיקת חתימות הקבצים עשויה לסייע לקבוע האם קורה משהו חשוד, היות והקבצים של Adobe חתומים דיגיטלית, בעוד שקבצי הנוזקה אינם חתומים. נקיטה באמצעים אלה עשויה לעזור למשתמשים להימנע מנפילה למלכודת האחרונה, שטמנה קבוצת טורלה".
 
ניתוח הנוזקה החדשה של קבוצה טורלה - כאן.