קבוצת הריגול Chafer האיראנית תוקפת שגרירויות דווקא עם כלי ריגול "ביתי"
מאת:
מערכת Telecom News, 7.2.19, 14:31
נראה, שההתקפות משתמשות בגרסה מעודכנת של הדלת האחורית Remexi. מה על ארגונים לעשות כהגנה מכלי ריגול?
חוקרי מעבדת קספרסקי זיהו מספר ניסיונות להדבקה של ישויות דיפלומטיות זרות באיראן, שנעשו באמצעות כלי ריגול "ביתי". נראה, שההתקפות משתמשות בגרסה מעודכנת של הדלת האחורית
Remexi.
במקביל, נעשה שימוש גם במספר כלים לגיטימיים. הדלת האחורית
Remexi מקושרת לקבוצת ריגול הסייבר
דוברת הפרסית הידועה כ-
Chafer, שבעבר נקשרה לאירועי ריגול אחר גורמים ספציפיים במזרח התיכון. התקיפה של שגרירויות מצביעה על מיקוד חדש בפעילות הקבוצה.
פעילות הקבוצה מראה כיצד גורמי איום באזורים מתפתחים בונים קמפיינים כנגד מטרות בעלות עניין באמצעות כלים פשוטים יחסית, שמפותחים בתוך הקבוצה, בשילוב עם כלים הזמינים לכל. במקרה זה, התוקפים השתמשו בגרסה משופרת של הדלת האחורית
Remexi - כלי המאפשר ניהול מרחוק של מכונת הקורבן.
Remexi זוהה לראשונה ב-2015, כשהיה בשימוש ע"י קבוצת ריגול סייבר בשם
Chafer במסגרת קמפיין ריגול כנגד גורמים וארגונים במזרח התיכון. העובדה, שהדלת האחורית, שמשמשת בקמפיין חדש, היא בעלת דמיון בקוד לדוגמיות של
Remexi, יחד עם רשימת המטרות שלה, מביאה את חוקרי החברה לקשר את הקמפיין הנוכחי לקבוצת
Chafer ברמת ביטחון בינונית.
הקוד הזדוני החדש של
Remexi, שזוהה כעת, מסוגל, בין היתר, להפעיל פקודות מרחוק, וללכוד צילומי מסך, נתוני דפדפן, כולל הרשאות משתמש, נתונים והיסטוריה של
log-in, וכל סוג של טקסט מוקלד.
הנתונים שנגנבים מחולצים באמצעות אפליקציית מיקרוסופט לגיטימית לשימוש (
Microsoft Background Intelligent Transfer Service - BITS)
- רכיב בחלונות, שתוכנן כדי לאפשר עדכונים ברקע של המערכת. מגמת השילוב בין קוד זדוני לבין קוד לגיטימי מסייעת לתוקפים לחסוך זמן ומשאבים כאשר הם יוצרים את הקוד הזדוני וגם להקשות על ייחוס של התקיפה אליהם.
כדי להגן על עצמכם מפני כלי ריגול:
השתמשו בפתרון אבטחה מוכח לרמה של ארגונים, עם יכולות נגד התקפות ממוקדות ומודיעין איומים, פתרון המסוגל לזהות וללכוד התקפות ממוקדות מתקדמות באמצעות ניתוח של אנומליות ברשת, כך, שיעניק לצוותי אבטחת סייבר שקיפות מלאה אל הרשת ואוטומציה של תגובות.
קדמו יוזמות לבניית מודעות לאבטחה כדי לספק לעובדים שליטה על היכולת לזהות הודעות חשודות. דואר אלקטרוני הוא נקודת פריצה נפוצה במסגרת התקפות ממוקדות.
ספקו לצוות האבטחה גישה למודיעין איומים עדכני, כדי להישאר מעודכנים בכל הטקטיקות והכלים בהם משתמשים עברייני סייבר, וכדי לשפר את בקרי האבטחה שכבר נמצאים בשימוש.
דניס לגזו, חוקר אבטחה במעבדת קספרסקי: "כאשר אנו מדברים על קמפיינים של ריגול בגיבוי מדינה, אנשים לעיתים קרובות מדמיינים פעילות מתקדמת עם כלים מורכבים, שפותחו ע"י מומחים. עם זאת, האנשים מאחורי הקמפיין המדובר נראים יותר כמו מנהלי מערכת מאשר שחקני איום מתוחכמים: הם יודעים כיצד לכתוב קוד, אבל הקמפיין שלהם מסתמך יותר על שימוש יצירתי בכלים קיימים מאשר על מאפיינים חדשים ומתקדמים או על ארכיטקטורה מתוחכמת של הקוד.
עם זאת, אפילו כלים פשוטים יחסית יכולים לגרום נזק משמעותי, לכן על ארגונים להגן על המידע והמערכות הרגישות שלהם מפני כל רמות האיום, ולהשתמש במודיעין איומים כדי להבין כיצד אופק האיומים מתפתח".
מידע נוסף -
כאן.