תוקפי סייבר פרצו לארגונים ב-40 מדינות, כולל ישראל, באמצעות קוד זדוני חמקני
מאת:
מערכת Telecom News, 8.2.17, 11:59
בנקים, חברות תקשורת וארגונים ממשלתיים היו המטרות המרכזיות למתקפה. לא ידוע מי עומד מאחורי ההתקפות אך יש חשודים. התוקפים עדיין פעילים.
מומחי מעבדת קספרסקי חשפו סדרה של התקפות ממוקדות "בלתי נראות", שמשתמשות בתוכנה לגיטימית: כלי בדיקות חדירה וניהול הזמינים לציבור, וכן בסביבת
PowerShell לאוטומציה של משימות במערכת חלונות – ללא הכנסת קבצי קוד זדוני אל הדיסק הקשיח, אלא באמצעות החבאתם בזיכרון בלבד.
גישה משולבת זו מסייעת למנוע זיהוי ע"י טכנולוגיות של "רשימות לבנות", והיא מותירה את חוקרי הפורנזיקה כמעט ללא ממצאים או דוגמיות של קוד זדוני, שניתן לעבוד איתם. התוקפים נשארים בסביבה רק למשך הזמן הנדרש כדי לאסוף מידע חיוני, לפני שהם מוחקים את העקבות שלהם מהמערכת באתחול הבא.
בסוף 2016, יצרו מספר בנקים קשר עם חוקרי החברה, שמצאו בשרתי הבנקים תוכנה לבדיקות חדירה בשם
Meterpreter, שכבר משמשת למטרות זדוניות, ושלא הייתה אמורה להימצא שם. החברה חשפה, שקוד
Meterpreter שולב עם מספר סקריפטים לגיטימיים של
PowerShell וכלים אחרים. השילוב בין הכלים הותאם כדי ליצור קוד זדוני, שיכול להתחבא בזיכרון ולאסוף סיסמאות של מנהלי מערכת מבלי להתגלות. כך, שהתוקפים יוכלו לשלוט מרחוק במערכות הקורבן. נראה, שמטרת העל הייתה לגשת לתהליכים פיננסים.
במהלך הבדיקה גילתה מעבדת קספרסקי, שהתקפות אלו התרחשו בהיקף נרחב: הן פגעו ביותר מ-140 רשתות ארגוניות במגוון מגזרים עסקיים, כשרוב הקורבנות ממוקמים בארה"ב, צרפת, אקוודור, קניה, בריטניה ורוסיה, וגם
בישראל. בסך הכל, נרשמו הדבקות ב-40 מדינות.
The geography of organizations attacked with the discovered method
לא ידוע מי עומד מאחורי ההתקפות. השימוש בקוד פתוח לפריצה, השימוש בכלים נפוצים של חלונות והדומיינים, שאינם מוכרים, מקשים מאוד על היכולת לקבוע מי הקבוצה האחראית להתקפות. קשה אף לקבוע האם מדובר בקבוצה יחידה או מספר קבוצות החולקות את אותם הכלים. ניתן לחשוד בקבוצות ידועות, שנקטו בגישות דומות בעבר, שהן
GCMAN ו-
Carbanak.
כלים כאלה מקשים על חשיפת פרטי ההתקפה. התהליך הרגיל, שמבצע חוקר במהלך תגובה לאירוע, הוא לעקוב אחר עקבות ודוגמיות, שהושארו ברשת ע"י התוקפים. אך בעוד שנתונים בדיסק קשיח יכולים להישאר זמינים גם שנה אחרי האירוע, עקבות המסתתרים בזיכרון יימחקו באתחול הראשון של המחשב. למרבה המזל, במקרה זה, המומחים הגיעו אליהם בזמן.
התוקפים עדיין פעילים, וחשוב לציין, זיהוי של התקפות כאלו אפשרי רק ב-
RAM, ברשת וברג'יסטרי
. מכאן, שבמקרים כאלה השימוש בחוקי
Yara על סריקה של קבצים זדוניים אינו אפשרי.
סרגיי גולבנוב, חוקר אבטחה ראשי, מעבדת קספרסקי: "הנחישות של התוקפים להסתיר את הפעילות שלהם ולהפוך את הזיהוי והתגובה לאירוע לקשים בהרבה, מסבירה את המגמה האחרונה של שימוש בטכניקות נוגדות פורנזיקה ושל קוד זדוני מבוסס זיכרון. זו הסיבה, שחקירת זיכרון הופכת לחיונית לצורך ניתוח קוד זדוני והמרכיבים שלו. באירועים מיוחדים אלה התוקפים השתמשו בכל שיטה אפשרית נגד פורנזיקה, כשהם מראים כיצד אין צורך באף קובץ של קוד זדוני לצורך חילוץ מוצלח של נתונים מהרשת, וכיצד השימוש בכלים לגיטימיים ובקוד פתוח הופכים את ייחוס ההתקפה לכמעט בלתי אפשרי".