מעבדת קספרסקי חושפת את SneekyPastes

קספרסקי

מעבדת קספרסקי פרסמה ניתוח של קמפיין ריגול סייבר בשם SneekyPastes כנגד משתמשים וארגונים בעלי אינטרסים פוליטיים במזרח התיכון, ביניהן ישראל. את הקמפיין הובילה קבוצת Gaza Cybergang, המורכבת ממספר יישויות נפרדות בעלות רמות תחכום שונות והוא עשה שימוש בכתובות דואר אלקטרוני זמניות להפצת פישינג נגוע.

בשלב הבא התבצעה הורדה מדורגת של הקוד הזדוני דרך מספר אתרים חינמיים. דרך הפעולה החסכונית אבל היעילה הזו סייעה לקבוצה להגיע להיקף מרשים של 240 קורבנות בפרופיל גבוה ב-39 מדינות ברחבי העולם, כולל גורמים דיפלומטיים, גופי מדיה ואקטיביסטים.

קבוצת Cybergang היא קבוצה דוברת ערבית המורכבת מאוסף של קבוצות נפרדות בעלות מוטיבציה פוליטית לתקיפה של מטרות במזרח התיכון וצפון אפריקה, עם מיקוד מיוחד בשטחי הגדה. מעבדת קספרסקי זיהתה לפחות שלוש קבוצות פעילות, שכולן בעלות מטרות ויעדים דומים – ריגול סייבר של גורמים הקשורים לפוליטיקה במזרח התיכון – אבל ברשותן עמדו כלים, טכניקות ורמות תחכום שונים.

הקבוצות כוללות את Operation Parliament ו-Desert Falcons המתוחכמות יותר, המוכרות החל מהשנים 2015 ו-2018, בהתאמה. ואת הקבוצה בעלת רמת התחכום הנמוכה יותר, הידועה בשם MoleRats, הפעילה עוד משנת 2012. באביב 2018, הקבוצה הזו הוציאה לפועל את SneakyPastes.

SneakyPastes החל במתקפת פישינג סביב נושא פוליטי אשר הופצה באמצעות כתובות דוא"ל ודומיינים זמניים. הקישורים הזדוניים שנלחצו או הקבצים המצורפים שנפתחו, התקינו את הקוד הזדוני במכשיר הקורבן.

על מנת להימנע מזיהוי ולהחביא את מיקום שרת הפיקוד והשליטה, נעשתה הורדה מדורגת של קוד זדוני נוסף אל מכשירי הקורבנות דרך מספר אתרים חינמיים לשימוש, כולל Pastebin ו-Github. הקוד הזדוני שהוטמע השתמש ב- PowerShell, VBS, JS ו-.net על מנת להבטיח עמידות בתוך המערכות שהודבקו. השלב האחרון בחדירה היה טרויאני לגישה מרחוק, אשר יצר קשר עם שרת הפיקוד והשליטה, ואז אסף, כיווץ, הצפין וטען, טווח רחב של מסמכים וגליונות חישוב גנובים. השם SneakyPastes נגזר מהשימוש הנרחב שהתוקפים עשו באתרים לשיתוף קוד (paste sites) כדי להחדיר את הקוד הזדוני בהדרגה אל מערכות הקורבן.

חוקרי מעבדת קספרסקי פעלו בשיתוף רשויות אכיפה כדי לחשוף את מחזור ההתקפה והחדירה המלאים של SneakyPastes. מאמצים אלו הביאו, לא רק להבנה מלאה של הכלים, הטכניקות והמטרות של הפעילות, אלא גם להפלת חלק משמעותי מהתשתית שלה.

פעילות SneakyPastes רשמה את שיא פעילותה בין אפריל לאמצע נובמבר 2018, כשהיא מתמקדת ברשימה קטנה של גופים דיפלומטיים וגופי ממשל, גופים ללא מטרות רווח וגופי מדיה. מהמחקר התגלה כי 240 מטרות בפרופיל גבוה ב-39 מדינות ברחבי העולם נפלו קורבן למתקפה.

רובם ממוקממים בשטחים, בירדן, בישראל ובלבנון. מספר הקורבנות בשטחי הרשות היה הגבוה ביותר – 110. בירדן זוהו 25 קורבנות ובישראל - 17 קורבנות. הקורבנות כוללים שגרירויות, גופי ממשל, גופי מדיה ועיתונאים, אקטיביסטים, מפלגות פוליטיות ואנשים פרטיים, וכן מוסדות חינוך, בנקאות ושירותי בריאות.

"החשיפה של Desert Falcons ב-2015 היוותה נקודת מפנה באופק האיומים של ה-APT דובר הערבית שהיה מוכר עד אז. כיום אנו יודעים כי הקבוצה "המייסדת", Gaza Cybergang, תוקפת מטרות עם אינטרסים במזרח התיכון כבר מאז 2012.

לרוב, הפעילות מסתמכת על אופרציה בתחכום נמוך יחסי, מה שבהחלט מוכיח כי תשתית או כלים מתקדמים אינם תנאי להצלחה. אנו צופים כי הנזק שיגרמו שלוש הקבוצות יתעצם, וכי ההתקפות שלהן יתרחבו לתחומים נוספים מעבר לנושא הפלסטיני", אמר אמין הסביני, ראש מרכז מחקר המזרח התיכון, צוות מחקר וניתוח בינלאומי (GReAT) במעבדת קספרסקי.

כל מוצרי מעבדת קספרסקי מזהים וחוסמים בהצלחה איום זה.

על מנת להימנע מליפול קורבן להתקפה ממוקדת מצד גורם איום ידוע או שאינו מוכר, חוקרי מעבדת קספרסקי ממליצה על הטמעת האמצעים הבאים:

השתמשו בכלי אבטחה מתקדמים, כגון Kaspersky Anti Targeted Attack Platform (KATA) וודאו כי לצוות האבטחה יש גישה למודיעין האיומים העדכני ביותר

ודאו כי כל התוכנות בארגון מעודכנות על בסיס קבוע, במיוחד כאשר מתפרסם עדכון אבטחה חדש. מוצרי אבטחה עם יכולות הערכת פגיעויות וניהול עדכונים יכולות לסייע באוטומציה של תהליכים אלה.

בחרו בפתרון אבטחה מוכח, כגון Kaspersky Endpoint Secuiry אשר מצויד ביכולות זיהוי מבוססות התנהגות, לצורך הגנה יעילה כנגד גורמי איום מוכרים ושאינם מוכרים, כולל כלים לניצול פרצות.

ודאו כי הצוות מבין את עקרונות הבסיס של "הגיינת סייבר", מאחר והתקפות ממוקדות רבות מתחילות בפישינג או טכניקות אחרות של הנדסה חברתית.

מידע נוסף על המחקר והקבוצה אפשר למצוא ב-Securelist ובבלוג קספרסקי