קמפיין ריגול אחר בעלי תפקידים בכירים באיטליה
עמי רוחקס דומבה
| 17/01/2017
bigstockphoto.com
מחשבים של בעלי תפקידים בכירים באיטליה נפרצו ונגנבה כמות גדולה של מידע אישי על ידי תוקפים חובבנים וחסרי מעצורים, באמצעות קוד זדוני בסיסי יחסית הנקרא "EyePyramid". שני חשודים נמצאים כעת במעצר. מסיבה זו, על אף הפגיעה במספר מצומצם יחסית של מחשבים ואנשים, וכי רוב הקורבנות מרוכזים באיטליה, הסיפור משך תשומת לב גלובלית.
במסגרת חקירה שביצעו חוקרי GReATבמעבדת קספרסקי נמצאו יותר מ- 100 קורבנות פעילים בשרתים ששימשו לאירוח הקוד הזדוני, וכן ממצאים כי במהלך השנים האחרונות התוקפים תקפו כ- 16,000 קורבנות. כל הקורבנות המזוהים הם באיטליה, רובם קשורים במשרדי עורכי דין, שירותי ייעוץ, אוניברסיטאות ואפילו קרדינלים בוותיקן.
"במהלך הניתוח שלנו זיהינו 18 דוגמיות הקשורות להתקפות EyePyramid, רובן נוצרו במהלך 2014-2015. לדוגמיות יש יכולות חילוץ מידע נרחבות, המאפשרות שליחה של נתונים דרך דואר אלקטרוני,WebDAV ו- FTP. התוקפים אספו כמות גדולה של נתונים ממחשבי הקורבנות אשר הועברה לשרתי הפיקוד והשליטה. הקוד הזדוני אינו מתוחכם ונראה שאין לו יכולות מיוחדות אשר יכולות לקשור אותו ל- ProjecSauron, כפי שנטען בפרסומים מסוימים. על פי הסטטיסטיקה שלנו, הקוד הזדוני נעצר עד כה ב- 16 מחשבים, ש- 11 מהם ממוקמים באיטליה", מסרו חוקרי GReAT
על אף שהקוד הזדוני EyePyramid שהיה בשימוש על ידי שני החשודים אינו מתוחכם או קשה לאיתור, הפעילות סיכנה מספר גדול של קורבנות, כולל מספר בכירים, וכתוצאה מממנה נגנבו עשרות גיגה ביט של נתונים.
באופן כללי, הפעילות התאפיינה ב-OPSEC (operational security) ירודה מאוד. החשודים השתמשו בכתובות IP הקשורות לחברה שלהן במהלך ההתקפה, התדיינו לגבי הקורבנות באמצעות שיחות טלפון רגילות או באמצעות WhatApp, וכאשר נתפסו, ניסו למחוק את כל העדויות. הדבר מצביע על כך שאלו אינם מקצוענים בתחום, אלא חובבנים בלבד, שלמרות זאת הצליחו לגנוב כמות גדולה של נתונים מהקורבנות.
"כפי שראינו בפעילויות ריגול אחרות, לא חיוני עבור תוקפים להשתמש בקוד זדוני מתוחכם, rookits או התקפות יום אפס כדי להחזיק פעילות ריגול סייבר ארוכת טווח. העובדה כי שני החשודים, ג'יאוליו אוצ'ינרו ופרנססקה מריה אוצ'ינרו, הריצו פעילות ריגול סייבר במשך שנים רבות לפני שנתפסו היא אולי הדבר המפתיע ביותר", קוסטין ריו, מנהל צוות ניתוח ומחקר גלובלי (GReAT), מעבדת קספרסקי.
הדוגמיות הראשונות נתפסו על ידי מעבדת קספרסקי באמצעות חוקיYara , ולאחר מכן נעשה שימוש בסטטיסטיקה כדי למצוא דוגמיות נוספות. התגלה כי קורבנות פעילות הריגול מתפזרים מעבר לאיטליה, גם אל איחוד האמירויות, גרמניה, רומניה, ויטנאם, סין, צרפת, אינדונזיה, טיוואן, פולין ומקסיקו.
YARA הוא כלי לחשיפת קבצים זדוניים או תבניות של פעילות חשודה על מערכות או רשתות החולקות מאפיינים דומים. חוקי YARA - שלמעשה מחפשים מחרוזות – מסייעים לאנליסטים למצוא, לקבץ, ולקטלג דוגמיות קשורות של קוד זדוני, וליצור ביניהן קשרים במטרה לבנות משפחות של קוד זדוני, ולחשוף קבוצות של התקפות שלא היה ניתן לאתר בדרך אחרת.
במקרה זה, חוקרי GReAT של מעבדת קספרסקי כתבו סדרה של חוקי YARA , המתבססים על כתובות דואר אלקטרוני שבשימוש כותבי הקוד הזוני, כשהנחת המוצא היא שכאשר יאתרו פעילות נוספת באמצעות כתובות הדואר האלה, זו כנראה תהיה פריצה של אותם התוקפים.
על אף שהדוח של משטרת איטליה אינו כולל קוד זדוני, הוא זיהה מספר שרתי פיקוד ושליטה וכתובות דואר אלקטרוני ששימשו את הקוד הזדוני לצורך חילוץ נתונים שנגנבו. בהתבסס על ממצאים אלו, מעבדת קספרסקי הצליחה לכתוב במהירות חוקי Yara ולהריץ אותם במערכות שלה- במטרה למצוא דוגמיות תואמות. הניתוח הצליח לאתר 44 דוגמיות באוסף המסכם.
"בהתבסס על נתוני רשת האבטחה של קספרסקי עבור הקוד הזדוני EyePyramid , הבחנו ב- 92 מקרים בהם הקוד הזדוני נחסם, שמתוכם הרוב (80%) היו באיטליה", מסרו חוקרי GReAT.
למידע נוסף ראו את הדוח ב-Securlist
מחשבים של בעלי תפקידים בכירים באיטליה נפרצו ונגנבה כמות גדולה של מידע אישי על ידי תוקפים חובבנים וחסרי מעצורים, באמצעות קוד זדוני בסיסי יחסית הנקרא "EyePyramid". שני חשודים נמצאים כעת במעצר. מסיבה זו, על אף הפגיעה במספר מצומצם יחסית של מחשבים ואנשים, וכי רוב הקורבנות מרוכזים באיטליה, הסיפור משך תשומת לב גלובלית.
במסגרת חקירה שביצעו חוקרי GReATבמעבדת קספרסקי נמצאו יותר מ- 100 קורבנות פעילים בשרתים ששימשו לאירוח הקוד הזדוני, וכן ממצאים כי במהלך השנים האחרונות התוקפים תקפו כ- 16,000 קורבנות. כל הקורבנות המזוהים הם באיטליה, רובם קשורים במשרדי עורכי דין, שירותי ייעוץ, אוניברסיטאות ואפילו קרדינלים בוותיקן.
"במהלך הניתוח שלנו זיהינו 18 דוגמיות הקשורות להתקפות EyePyramid, רובן נוצרו במהלך 2014-2015. לדוגמיות יש יכולות חילוץ מידע נרחבות, המאפשרות שליחה של נתונים דרך דואר אלקטרוני,WebDAV ו- FTP. התוקפים אספו כמות גדולה של נתונים ממחשבי הקורבנות אשר הועברה לשרתי הפיקוד והשליטה. הקוד הזדוני אינו מתוחכם ונראה שאין לו יכולות מיוחדות אשר יכולות לקשור אותו ל- ProjecSauron, כפי שנטען בפרסומים מסוימים. על פי הסטטיסטיקה שלנו, הקוד הזדוני נעצר עד כה ב- 16 מחשבים, ש- 11 מהם ממוקמים באיטליה", מסרו חוקרי GReAT
על אף שהקוד הזדוני EyePyramid שהיה בשימוש על ידי שני החשודים אינו מתוחכם או קשה לאיתור, הפעילות סיכנה מספר גדול של קורבנות, כולל מספר בכירים, וכתוצאה מממנה נגנבו עשרות גיגה ביט של נתונים.
באופן כללי, הפעילות התאפיינה ב-OPSEC (operational security) ירודה מאוד. החשודים השתמשו בכתובות IP הקשורות לחברה שלהן במהלך ההתקפה, התדיינו לגבי הקורבנות באמצעות שיחות טלפון רגילות או באמצעות WhatApp, וכאשר נתפסו, ניסו למחוק את כל העדויות. הדבר מצביע על כך שאלו אינם מקצוענים בתחום, אלא חובבנים בלבד, שלמרות זאת הצליחו לגנוב כמות גדולה של נתונים מהקורבנות.
"כפי שראינו בפעילויות ריגול אחרות, לא חיוני עבור תוקפים להשתמש בקוד זדוני מתוחכם, rookits או התקפות יום אפס כדי להחזיק פעילות ריגול סייבר ארוכת טווח. העובדה כי שני החשודים, ג'יאוליו אוצ'ינרו ופרנססקה מריה אוצ'ינרו, הריצו פעילות ריגול סייבר במשך שנים רבות לפני שנתפסו היא אולי הדבר המפתיע ביותר", קוסטין ריו, מנהל צוות ניתוח ומחקר גלובלי (GReAT), מעבדת קספרסקי.
הדוגמיות הראשונות נתפסו על ידי מעבדת קספרסקי באמצעות חוקיYara , ולאחר מכן נעשה שימוש בסטטיסטיקה כדי למצוא דוגמיות נוספות. התגלה כי קורבנות פעילות הריגול מתפזרים מעבר לאיטליה, גם אל איחוד האמירויות, גרמניה, רומניה, ויטנאם, סין, צרפת, אינדונזיה, טיוואן, פולין ומקסיקו.
YARA הוא כלי לחשיפת קבצים זדוניים או תבניות של פעילות חשודה על מערכות או רשתות החולקות מאפיינים דומים. חוקי YARA - שלמעשה מחפשים מחרוזות – מסייעים לאנליסטים למצוא, לקבץ, ולקטלג דוגמיות קשורות של קוד זדוני, וליצור ביניהן קשרים במטרה לבנות משפחות של קוד זדוני, ולחשוף קבוצות של התקפות שלא היה ניתן לאתר בדרך אחרת.
במקרה זה, חוקרי GReAT של מעבדת קספרסקי כתבו סדרה של חוקי YARA , המתבססים על כתובות דואר אלקטרוני שבשימוש כותבי הקוד הזוני, כשהנחת המוצא היא שכאשר יאתרו פעילות נוספת באמצעות כתובות הדואר האלה, זו כנראה תהיה פריצה של אותם התוקפים.
על אף שהדוח של משטרת איטליה אינו כולל קוד זדוני, הוא זיהה מספר שרתי פיקוד ושליטה וכתובות דואר אלקטרוני ששימשו את הקוד הזדוני לצורך חילוץ נתונים שנגנבו. בהתבסס על ממצאים אלו, מעבדת קספרסקי הצליחה לכתוב במהירות חוקי Yara ולהריץ אותם במערכות שלה- במטרה למצוא דוגמיות תואמות. הניתוח הצליח לאתר 44 דוגמיות באוסף המסכם.
"בהתבסס על נתוני רשת האבטחה של קספרסקי עבור הקוד הזדוני EyePyramid , הבחנו ב- 92 מקרים בהם הקוד הזדוני נחסם, שמתוכם הרוב (80%) היו באיטליה", מסרו חוקרי GReAT.
למידע נוסף ראו את הדוח ב-Securlist
