הבלוג של על אבטחת מידע וחיות אחרות

amirojkes

עמי רוחקס דומבה הוא כתב טכנולוגי המסקר את תחום אבטחת המידע והסייבר. הוא כותב כיום באתר ומגזין "ישראל דיפנס" ובעברו כתב עבור אתר MAKO ו-Walla.

עדכונים:

פוסטים: 3

החל מאוקטובר 2013

חוקרים של חברת סימנטק הצליחו לחשוף שיטות פעולה של קבוצת האקרים מקצועית, אחת הטובות בעולם, המשכירה את שירותיה לכל המרבה במחיר. בתפריט: התקפות APT, מציאת zero-day ועוד

02/10/2013

בשנים האחרונות התפרסמו דוחות המפרטים את הפעילויות של גורמים מאחורי תקיפות ממוקדות שונות או APTs. ב- Symantec Security Response עוקבים אחרי קבוצה שהנה מהטובות מסוגה כאשר מדובר בקבוצות האקרים שבסיסן בסין.

בסימנטק נתנו לקבוצה זאת את השם Hidden Lynx – חתולי פרא סמויים; בעקבות מחרוזת שנמצאה בתקשורת שרת פיקוד ובקרה, ולחבריה יש רעב ודחף העולים על אלה של קבוצות אחרות ידועות היטב, כמו APT1/Comment Crew. מאפיינים עיקריים של קבוצה זאת הנם: ידע טכני, זריזות וגמישות, ארגון, תושייה, וסבלנות.

תכונות אלה מודגמות בקמפיינים ללא סוף המופעלים נגד מטרות נוכחיות רבות במהלך תקופת זמן ממושכת. הם החלוצים של טכניקת ה- “watering hole” (אסטרטגיית תקיפת מחשבים תלת שלבית המכוונת לקבוצה ספציפית) המשמשת למארב למטרות.

יש להם גישה מוקדמת לנקודות תורפה zero-day, ויש להם העקשנות והסבלנות של צייד חכם הפועל לפגוע בשרשרת האספקה על מנת להגיע למטרה האמיתית. תקיפות שרשרת אספקה אלה מבוצעות על-ידי מחשבים נגועים אצל ספק או במטרת יעד, ואז מחכים שהמחשבים הנגועים יותקנו ויתקשרו ליעד. אלה הן בבירור פעולות קרות ומחושבות, ולא תקיפות אימפולסיביות של חובבים.

הקבוצה לא מגבילה עצמה למספר מצומצם של יעדים. במקום זאת היא בוחרת כמטרה מאות ארגונים שונות בארצות שונות רבות, אפילו בו-זמנית. בהתחשב בעומק ובמספר המטרות והארצות המעורבות, בסימנטק מסיקים כי קבוצה זו הנה ככל הנראה פעילות של “האקרים-להשכרה”, שלקוחות מגייסים כדי לספק מידע. הם גונבים לפי הזמנה כל דבר שלקוחותיהם מעוניינים בו, ומכאן המגוון הרחב והטווח של היעדים.

בסימנטק גם מאמינים כי על מנת לבצע תקיפות בסדר גודל שכזה, לרשות הקבוצה חייבת לעמוד מומחיות האקינג משמעותית. יתכן כי 50 עד 100 מפעילים מועסקים ומאורגנים לפחות בשני צוותים נפרדים, שעל שניהם מוטלות משימות ופעילויות שונות, בשימוש בכלים וטכניקות שונות.

סוגים אלה של תקיפות דורשים זמן ומאמץ לביצוען, וחלק מהקמפיינים דורשים מחקר ואיסוף מודיעין לפני שיכולה להתבצע תקיפה מוצלחת.

בחזית של קבוצה זו עומד צוות המשתמש בכלים זמינים ביחד עם טכניקות בסיסיות אך יעילות, לתקיפת מטרות שונות ורבות.

הם גם פועלים כאוספי מודיעין. לצוות זה קוראים בסימנטק “Team Moudoor”, על שם התולעת הטרויאנית בה הם משתמשים. מודור הנו סוס טרויאני החודר מדלת אחורית, בו הצוות משתמש בחופשיות בלי לדאוג לגילויו על-ידי חברות אבטחה.

הצוות השני פועל כיחידת פעילויות מיוחדת – אנשי עלית המשמשים לפיצוח המטרות בעלות הערך הרב ביותר או הקשות ביותר. צוות עלית זה משתמש בסוס טרויאני הנקרא Naid, ולכן זכה לכינוי Team Naid.

שלא כמו מודור, השימוש בסוס הטרויאני נאיד נעשה בקמצנות, במטרה למנוע גילוי ולכידה, כמו נשק סודי בו נעשה שימוש רק כשכישלון אינו אופציה.

מאז 2011 זיהתה סימנטק לפחות שישה קמפיינים משמעותיים שבוצעו על-ידי קבוצה זאת. הבולט ביותר ביניהם הוא קמפיין תקיפה VOHO ביוני 2012.

מה שמעניין במיוחד בתקיפה זאת, הוא השימוש בטכניקת תקיפה watering hole והפגיעה בתשתית חתימת קבצים Bit9. קמפיין VOHO  כוון אל קבלני ביטחון של ממשלת ארה”ב, שמערכותיהם היו מוגנות על-ידי תוכנת הגנה Bit9, אך כאשר התקדמות תוקפי Hidden Lynx נחסמה על-ידי מכשול זה, הם חישבו מחדש את מהלכיהם וגילו כי הדרך הטובה ביותר לעקוף את ההגנה הייתה לפגוע בלב מערכת ההגנה עצמה ולהטות אותה לצרכיהם. זה בדיוק מה שהם עשו כאשר הפנו את תשומת לבם אל Bit9 ופגעו במערכות.

עם הפריצה, התוקפים מצאו במהירות את דרכם לתוך תשתית חתימת הקבצים שהייתה היסוד של מודל ההגנה Bit9. אז הם השתמשו במערכת זאת כדי לחתום על מספר קבצי נוזקה, וקבצים אלה שימשו בתורם כדי לפגוע ביעדים המקוריים האמיתיים.

הכתבה פורסמה לראשונה באתר הטכנולוגיה ישראל טק

עוד מהבלוג של על אבטחת מידע וחיות אחרות

ארה"ב: דרום קוריאה צריכה לשפר יכולות בסייבר

דרום קוריאה צריכה לשפר את ההגנה מפני הטילים שלה ואת יכולות הסייבר כדי להגן מפני איומים מתמשכים מפיונגיאנג, אמר גנרל ג'יימס תורמן, מפקד הכוחות האמריקאים בקוריאה ביום שלישי האחרון. כך על פי דיווח באתרdeseretnews. גנרל תורמן...

תגובות

פורסם לפני 7 years

הטלגרף: התנקשות בראש תכנית הסייבר של איראן

מפקד תכנית הלוחמה קיברנטית של איראן נהרג בהתנקשות בחייו, כביכול, כך על פי דיווחים בתקשורת. איראן האשימה גורמים חיצוניים בביצוע הפיגוע. ראש תכנית הלוחמה הקיברנטית של איראן מוחטבה אחמדי ( Mojtaba Ahmadi), נראה בפעם האחרונה שעזב...

תגובות

תגיות:

פורסם לפני 7 years

תגובות

טופ 20 - בלוגים

מתחברים לסלונה

הכתבות הנקראות ביותר

אסור לפספס

בחזרה למעלה