קבוצתFancy Bear תוקפת אורחים בבתי מלון באירופה ובמזה"ת
מאת:
מערכת Telecom News, 13.8.17, 22:53
תקיפה בוצעה, בין השאר, באמצעות גניבת סיסמאות ע"י ציתות לרשת ה-WiFi של בתי המלון, שימוש בתגובות מזויפות לשירות NETBIOS והתפשטות רוחבית ברשת באמצעות הפגיעות המוכרת כ-Eternal Blue. מה עושים?
דווח, שוקטור התקיפה הראשוני היה באמצעות דיוג ממוקד (
Spear Phishing) לבתי מלון ב-
7 מדינות אירופיות ומדינה מזרח תיכונית אחת. פתיחה של הצרופה בהודעת המייל גורמת להפעלת מאקרו, שיביא, בסופו של דבר, להתקנת הפוגען
Gamefish בעמדה. פוגען זה הוא
RAT (
Remote Access Trojan). הפוגען יוצר קשר עם 2 שרתי
C&C של התוקף.
קבוצת התקיפה משתמשת בכלי בשם
,Responder שפורסם פומבית ברשת לפני מספר שנים. כלי זה פועל בפרוטוקול
SMB והוא מזייף תשובות לשאילתות
NBT. הכלי מאזין לפורט
UDP/137 ומזייף תשובות לשאילתות. כך, שהמשתמש מעביר לעמדה הנשלטת ע"י התוקף את נתוני ההזדהות שלו.
לאחר השגת נתוני ההזדהות, קבוצת התקיפה משתמשת בפגיעות
Eternal Blue כדי לבצע תנועה רוחבית (
Lateral Movement) והתפשטות ברשת.
פגיעות זו מנצלת חולשה בפרוטוקול
SMBv1 , חולשה, שבה השתמשו במתקפת הכופר העולמית
WannaCry.
מומלץ לנקוט משנה זהירות בעת התחברות ל-
WiFi במלונות ובשאר מקומות פומביים.
מומלץ להימנע ככל האפשר משימוש ברשתות מסוג זה.
אם נעשה שימוש ברשת מסוג זה, מומלץ לא לעשות שימוש במשאבים מקומיים של הרשת אלא לנצלה כתווך בלבד עבור קישור
VPN לרשת הארגונית.
מומלץ לעשות שימוש בהגדרות
FW המונעות תקשורת חיצונית כלשהי אל המחשב / יחידת הקצה בעת חיבור לרשת ה-
WiFi הפומבית.