קבוצת ריגול סייבר מנצלת את השמועות על האיסור בטלגרם ויוזמת התקפות
מאת:
מערכת Telecom News, 29.10.18, 00:48
הטרויאני בשם "אוקטופוס", שמתחזה לגרסה של טלגרם ומספק לתוקפים גישה מרחוק למחשבי הקורבן, פגע במשתמשים על רקע השמועות, שנפוצו באחרונה, על איסור צפוי בשימוש בתוכנת טלגרם. מה מומלץ לארגונים לעשות?
חוקרי מעבדת קספרסקי חשפו גל של מתקפות ריגול סייבר ממוקדות של קבוצה דוברת רוסית נגד ארגונים דיפלומטיים במרכז אסיה. הטרויאני בשם "אוקטופוס", שמתחזה לגרסה של טלגרם ומספק לתוקפים גישה מרחוק למחשבי הקורבן, פגע במשתמשים על רקע השמועות, שנפוצו באחרונה במרכז אסיה, על איסור צפוי בשימוש בתוכנת טלגרם.
גורמי איום מחפשים בהתמדה אחר מגמות אותן ניתן לנצל לצורך פגיעה בפרטיות משתמשים ולאיסוף מידע רגיש ברחבי העולם. במקרה הזה, האיסור על שימוש בתוכנת טלגרם, שעלול להתממש בקרוב, אפשר לגורמי האיום לתכנן התקפות המבוססות על הטרויאני אוקטופוס.
בין הנפגעים היו גורמי אופוזיציה קזחסטנים, שהטרויאני נשלח אליהם בתוך ארכיב קבצים המחופש לגרסה חלופית של טלגרם. קובץ ההפעלה הסתווה באמצעות סמל מוכר של אחת ממפלגות האופוזיציה באזור, והטרויאני הוחבא בפנים. ברגע שהופעל, הטרויאני סיפק לתוקפים הזדמנות לבצע מגוון פעולות עם הנתונים, שבמחשב הנגוע, לרבות מחיקה, חסימה, שינוי, העתקה והורדה. באמצעותו, התוקפים היו מסוגלים לרגל אחר קורבנות, לגנוב נתונים רגישים ולהשיג גישה אחורית למערכות.
דרך הפעולה מכילה מאפיינים דומים לפעילות הריגול הידועה
Zoo Park, במסגרתה הקוד הזדוני, ששימש ל-
,APT חיקה את אפליקציית טלגרם כדי לרגל אחר קורבנות.
חוקרי החברה זיהו דמיון בקוד התוכנה וחשפו, שאוקטופוס יכול להיות קשור ל-
DustSquad - קבוצת ריגול סייבר דוברת רוסית הפועלת מאז 2014 במדינות ברית המועצות לשעבר ובמרכז אסיה וכן באפגניסטן. במהלך השנתיים האחרונות החוקרים זיהו 4 קמפיינים של הקבוצה עם קוד זדוני ייחודי לאנדרואיד ולמערכת חלונות, שכוון נגד משתמשים פרטיים וגופים דיפלומטיים.
דניס לגזו, חוקר אבטחה במעבדת קספרסקי: "ב- 2018 ראינו הרבה גורמי איום הפועלים נגד ישויות דיפלומטיות במרכז אסיה.
DustSquad פעלה באזור במהלך השנים האחרונות ויכולה גם להיות הקבוצה, שמאחורי האיום החדש. נראה, שהעניין בפעילות הסייבר בחלק זה של העולם צומח בהתמדה. אנו מייעצים למשתמשים ולארגונים באזור לפקוח עין על המערכות שלהם ולהורות גם לעובדים לעשות זאת".
כדי להפחית את הסיכון מהתקפות סייבר מתוחכמות, מומלץ על הצעדים הבאים:
ללמד את הצוות כיצד לזהות אפליקציות או קבצים,שעלולים להיות זדוניים, ולהימנע מהורדה והפעלה של כל אפליקציה או תוכנה ממקור בלתי אמין או שאינו מוכר.
להשתמש בפתרון אבטחה עוצמתי לנקודות קצה, עם יכולת לשליטה באפליקציות המגבילה את היכולת להפעיל אפליקציות או לגשת למשאבים חיוניים במערכת.
להטמיע מערך של פתרונות וטכנולוגיות כנגד התקפות ממוקדות. אלה יכולים לסייע בזיהוי של פעילות זדונית לרוחב הרשת, חקירה שלה, ותגובה באמצעות חסימת ההתקדמות של ההתקפה.
להבטיח, שלצוות האבטחה יש גישה למודיעין איומים מקצועי.
הדו"ח המלא -
כאן.
עדכון 15.1.23: משטרת ישראל ענתה ב"אין תגובה" לחשיפת
אבי וייס לכך, שמשטרת ישראל השתמשה ומשתמשת גם כיום (למרות השבתת מערכת הפגסוס\סייפן, ראה
דו"ח מררי -
כאן ו
כאן), במערכת האזנת סתר לטלגרם - בתוכנה להעתקת טלגרם, מערכת נפרדת מזו של הפגסוס\סייפן. תגובת משטרת ישראל -
כאן.
עדכון 17.1.23: פורסם ע"י
עומר כביר מ"כלכליסט"
כאן (כותרת בלבד): "איגוד האינטרנט הישראלי: "המידע שהמשטרה שואבת ממכשירים לרוב כרוך בעבירות פליליות וחורג מסמכויותיה".
הדו"ח מבקר את השימוש שעושות רשויות אכיפת החוק בישראל בכלי פריצה, ריגול ושאיבת מידע. ומדגיש את הצורך לעדכן את החוק והרגולציה בנושא חדירה למכשירים חכמים ושירותי ענן. כמו כן, מחברי הדו"ח מציעים מתווה לאסדרת החיפוש."
המסמך המלא של המחקר מצוי
כאן (או
כאן, אם זה ייעלם מרשת האינטרנט).