קב' ריגול הסייבר Darkhotel מרחיבה התקפות ע"י פרצות שדלפו מהאקינג טים
מאת:
מערכת Telecom News, 11.8.15, 12:21
Darkhotel מורכב מצוות עילית לריגול סייבר, שנחשף ב-2014 בעקבות פריצה לרשתות WiFi במלונות יוקרה כדי לפגוע בבכירים מארגונים שונים. עפ"י חשיפה חדשה, החל מ-5.7.15 הקבוצה עשתה שימוש בפרצות יום אפס מהאוסף של Hacking Team.
כתוצאה מהדליפה של
,Hacking Team שמוכרת כספקית קוד זדוני לרשויות אכיפת החוק וממשלות ברחבי העולם, החלו מספר קבוצות ריגול סייבר להשתמש בכלי הפריצה ש-
Hacking Team סיפקה ללקוחותיה. אלה כוללים מספר כלי ניצול פרצות בנגן של אדובי פלאש ומערכת ההפעלה חלונות. לפחות אחד מהם זכה לייעוד מחודש ע"י שחקן ריגול הסייבר העוצמתי
Darkhotel.
Darkhotel מורכב מצוות עילית לריגול סייבר, שנחשף ע"י מומחי מעבדת קספרסקי ב-2014 בעקבות פריצה לרשתות
WiFi במלונות יוקרה בעולם כדי לפגוע בבכירים מארגונים שונים. עפ"י חשיפה חדשה של החברה, החל מ-5.7.15 הקבוצה עשתה שימוש בפרצות יום אפס מהאוסף של
Hacking Team. לא ברור אם
Darkhotel הייתה לקוחה של
Hacking Team, אבל נראה, שהיא אספה את הקבצים כאשר הם הפכו לזמינים בשטח.
זו אינה פרצת יום אפס היחידה של הקבוצה. החברה מעריכה, שבמהלך השנים האחרונות הקבוצה עשתה שימוש בלפחות כחצי תריסר פרצות יום אפס המכוונות לנגן אדובי פלאש, כנראה תוך השקעה כספית משמעותית בהרחבת הארסנל שלה. ב- 2015, הרחיבה קבוצת
Darkhotel את טווח הפעולה הגיאוגרפי שלה ברחבי העולם, תוך שהיא ממשיכה בתקיפות ממוקדות של קורבנות בצפון ודרום קוריאה, רוסיה, יפן, בנגלדש, תאילנד, הודו, מוזמביק וגרמניה.
סיוע רוחבי מ- Hacking Team
חוקרי האבטחה של קסרפסקי זיהו טכניקות ופעילויות חדשות מצד
Darkhotel, שחקן התקפות
APT מוכר הפעיל כבר כמעט 8 שנים. בהתקפות המתוארכות ל-2014 ואף קודם לכן, הקבוצה עשתה שימוש בלתי הוגן בתעודות גנובות לחתימת קוד, והפעילה שיטות ייחודיות כגון פריצה לרשתות
WiFi של בתי מלון כדי להשתיל כלי ריגול על מערכות המטרה.
ב-2015, רבות מטכניקות ופעולות אלה המשיכו, אך החברה גם חשפה סוג חדש של קבצי הפעלה זדוניים, שימוש מתמשך בתעודות גנובות, פעילות הסוואה רציפה עם טכניקות הנדסה חברתית והפעלה של פרצות יום אפס של
Hacking Team:
- שימוש מתמשך בתעודות גנובות. נראה, שקבוצת Darkhotel ממשיכה לשמור על אוסף של תעודות גנובות ומפעילה את מנגנוני ההורדה והדלת האחורית שלהם כשהם חתומים על ידם, כדי להערים על מערכות המטרה. חלק מהתעודות האחרונות, שהופעלו, כוללות Xuchang Hongguang Technology Co. Ltd., החברה, שבתעודותיה נעשה שימוש במתקפות קודמות של הקבוצה.
- מתקפות ממוקדות ללא הפסקה. פעילות הריגול Darkhotel היא בהחלט טורדנית: היא מנסה להתמקד במטרה ואם היא לא מצליחה היא מנסה שוב מספר חודשים לאחר מכן באמצעות שיטה דומה של הנדסה חברתית.
- הפעלת פרצות יום אפס של Hacking Team. האתר הפגוע, tisone360.com, מכיל מערך של פרצות ודלתות אחוריות, לרבות פרצות יום אפס לפלאש של Hacking Team.
קורט באומגרטנר, חוקר אבטחה ראשי במעבדת קספרסקי: "
Darkhotel חזרה עם פרצה נוספת של
Adobe Flash Player המתארחת על אתר פגוע, והפעם נראה כי היא מבוססת על הדליפה של
Hacking Team. הקבוצה סיפקה בעבר פרצה שונה לפלאש על אותו האתר, דבר שדיווחנו עליו כפרצת יום אפס באדובי בינואר 2014. נראה, כי
Darkhotel שרפה ערימה של פרצות יום אפס וחצי-יום במהלך השנים האחרונות. ייתכן והיא אספה אפילו יותר פרצות כדי לבצע התקפות ממוקדות על בכירים ברמה הבינלאומית. מהתקפות קודמות אנו יודעים, כי
Darkhotel מרגלת אחר מנכ"לים, סגני נשיא בכירים, מנהלי מכירות ושיווק וצוותי מחקר ופיתוח מובילים".