רוגלת InvisiMole הופכת מחשבים אישיים לנקודות האזנה כולל הקלטת שמע וצילום תמונות
עמי רוחקס דומבה
| 19/06/2018
https://www.welivesecurity.com/2018/06/07/invisimole-equipped-spyware-undercover/
כלי ריגול-סייבר שהתגלה לאחרונה הופך מחשבים אישיים לנקודות האזנה, מה שמאפשר לתוקפים להאזין לשיחות ולצלם תמונות בעזרת המכשיר הפרוץ. הנוזקה, ששמה InvisiMole, פעילה כבר משנת 2013 אך נחשפה רק לאחרונה – מה שנותן מעט מושג על האופי החמקני של ההתקפות.
מאפייני הנוזקה צוינו ע"י חוקרים ב-ESET לאחר שזו התגלתה במחשבים באוקראינה וברוסיה. ככל הנראה, ההתקפה מכוונת ליעדים מאוד ספציפיים ורק כמה עשרות מחשבים הושפעו ממנה, אך המטרות הן מטרות בפרופיל גבוה והן בעלות ערך רב לתוקפים. בחברת ESET מסבירים שהנוזקה הופכת את המחשב הפרוץ "למצלמת אבטחה שמאפשרת לתוקפים לשמוע ולראות מה שמתרחש במשרדו של הקורבן, או בכל מקום אחר שבו יימצא המכשיר".
התוקפים העומדים מאחורי הקמפיין הצליחו לטשטש את עקבותיהם בצורה טובה כל כך עד כדי כך שהחוקרים לא בטוחים מי בדיוק עומד מאחורי InvisiMole, אבל דבר אחד בטוח: האופי העוצמתי של הקמפיין ממצב אותו במקום מאוד גבוה יחד עם קמפיינים שנוצרו ע"י הקבוצות המתוחכמות ביותר. "InvisiMole היא רוגלה שמסוגלת לעשות הכול, ויכולותיה העשירות מסוגלות להתחרות באלו של כלי ריגול אחרים בחוץ", אומרת זוזאנה חרומקובה, אנליסטית נוזקות ב-ESET.
אופייה החמקני של רוגלת InvisiMole מביא לכך שהחוקרים עדיין לא בטוחים בנוגע לאופן בו הנוזקה מגיעה למכשירי היעד, וכרגע כל אפשרויות ההדבקה באות בחשבון, ביניהן גישה פיזית למחשב עצמו. מה שאנחנו יודעים בנוגע לנוזקה זה שהיא מוחבאת בתוך תוכנה שמעוצבת כך שתיראה כאילו היא מאפשרת תאימות בין אפליקציות שונות. הקובץ הזה – המוסווה כך שייראה כאילו הוא שייך למקום שהוא נמצא בו – הוא הקובץ ממנו פועלת רוגלת InvisiMole, והוא זה שמשמש לפריצה למערכת.
בנוסף לכך, InvisiMole מסווה את עצמה מהקורבן ומצוותי אבטחת מידע באמצעות הצפנת המחרוזות, הקבצים הפנימיים, נתוני הקונפיגורציה ותקשורת הרשת שלה. בתוך הנוזקה נמצא מודול שנקרא RC2FM, שיוצר דלת אחורית לכלל המערכת ולכמה פקודות שונות אותן ניתן להריץ על המחשב הפרוץ לאחר שמתקבלת הנחיה כזאת מהתוקפים.
הנוזקה מסוגלת לצלם ווידאו ממצלמת רשת, להקליט שמע באמצעות התקני הקלטת השמע של המכשירים ולצלם צילומי מסך של המחשב הפרוץ. החוקרים מציינים שהנוזקה מסוגלת לצלם צילומי מסך של כל אחד מהחלונות הפתוחים בנפרד, מה שמאפשר לתוקפים לצלם צילומי מסך של תוכנות שרצות ברקע. בנוסף, התוכנה מאפשרת לתוקף לפתוח, ליצור ולמחוק קבצים, לאחזר את כל המידע בנוגע למערכת ואף יותר מזה – כל זה תוך כדי שהתוקפים נזהרים שלא להשאיר עדויות לפעילותם.
את כל הנתונים האלה ניתן לייצא לפקודה ולשָׁרָת שליטה המנוהל ע"י התוקפים, וניתן לנצל אותם לכל מטרה שעשויה להיות שימושית עבור האחראים לקמפיין ריגול הסייבר הזה. התוקפים יכולים גם לעקוב אחר המיקום המדויק של המכשיר – טקטיקה שימושית במידה ומדובר במחשב נייד שמועבר ממקום למקום.
אמיר כרמי, מנהל טכנולוגיות בחברת ESET בישראל מסביר כי "InvisiMole מסוגלת לסרוק רשתות אלחוטיות פתוחות במערכת הפרוצה. היא מתעדת נתונים כמו מזהה הרשת (SSID) וכתובת ה-MAC של נקודות הגישה האלחוטיות הגלויות. את הנתונים האלה ניתן להשוות לאחר מכן מול בסיסי מידע ציבוריים, מה שמאפשר לתוקפים לעקוב אחר המיקום הגיאוגרפי של הקורבן.
רמת התחכום של הנוזקה, יכולות ההסוואה, השמדת הראיות שלה ואפשרויות השליטה הנרחבות שיש לה מרחוק באמצעות יותר מ-80 פקודות אפשריות, מרמזות על כך שפותחה ע"י מדינה או ארגון שיש להם מספיק משאבים לפתח ולעדכן פרויקט בסדר גודל כזה לאורך 5 שנים לפחות."
מכיוון שהקמפיין התגלה רק לאחרונה, ניתן לשער שמפעיליו עדיין מבצעים מתקפות כנגד מטרות שנבחרו בקפידה. החוקרים פרסמו רשימה מלאה של אינדיקטורים (IoC, Indicators of Compromise).
עמי רוחקס דומבה
| 19/06/2018
https://www.welivesecurity.com/2018/06/07/invisimole-equipped-spyware-undercover/
כלי ריגול-סייבר שהתגלה לאחרונה הופך מחשבים אישיים לנקודות האזנה, מה שמאפשר לתוקפים להאזין לשיחות ולצלם תמונות בעזרת המכשיר הפרוץ. הנוזקה, ששמה InvisiMole, פעילה כבר משנת 2013 אך נחשפה רק לאחרונה – מה שנותן מעט מושג על האופי החמקני של ההתקפות.
מאפייני הנוזקה צוינו ע"י חוקרים ב-ESET לאחר שזו התגלתה במחשבים באוקראינה וברוסיה. ככל הנראה, ההתקפה מכוונת ליעדים מאוד ספציפיים ורק כמה עשרות מחשבים הושפעו ממנה, אך המטרות הן מטרות בפרופיל גבוה והן בעלות ערך רב לתוקפים. בחברת ESET מסבירים שהנוזקה הופכת את המחשב הפרוץ "למצלמת אבטחה שמאפשרת לתוקפים לשמוע ולראות מה שמתרחש במשרדו של הקורבן, או בכל מקום אחר שבו יימצא המכשיר".
התוקפים העומדים מאחורי הקמפיין הצליחו לטשטש את עקבותיהם בצורה טובה כל כך עד כדי כך שהחוקרים לא בטוחים מי בדיוק עומד מאחורי InvisiMole, אבל דבר אחד בטוח: האופי העוצמתי של הקמפיין ממצב אותו במקום מאוד גבוה יחד עם קמפיינים שנוצרו ע"י הקבוצות המתוחכמות ביותר. "InvisiMole היא רוגלה שמסוגלת לעשות הכול, ויכולותיה העשירות מסוגלות להתחרות באלו של כלי ריגול אחרים בחוץ", אומרת זוזאנה חרומקובה, אנליסטית נוזקות ב-ESET.
אופייה החמקני של רוגלת InvisiMole מביא לכך שהחוקרים עדיין לא בטוחים בנוגע לאופן בו הנוזקה מגיעה למכשירי היעד, וכרגע כל אפשרויות ההדבקה באות בחשבון, ביניהן גישה פיזית למחשב עצמו. מה שאנחנו יודעים בנוגע לנוזקה זה שהיא מוחבאת בתוך תוכנה שמעוצבת כך שתיראה כאילו היא מאפשרת תאימות בין אפליקציות שונות. הקובץ הזה – המוסווה כך שייראה כאילו הוא שייך למקום שהוא נמצא בו – הוא הקובץ ממנו פועלת רוגלת InvisiMole, והוא זה שמשמש לפריצה למערכת.
בנוסף לכך, InvisiMole מסווה את עצמה מהקורבן ומצוותי אבטחת מידע באמצעות הצפנת המחרוזות, הקבצים הפנימיים, נתוני הקונפיגורציה ותקשורת הרשת שלה. בתוך הנוזקה נמצא מודול שנקרא RC2FM, שיוצר דלת אחורית לכלל המערכת ולכמה פקודות שונות אותן ניתן להריץ על המחשב הפרוץ לאחר שמתקבלת הנחיה כזאת מהתוקפים.
הנוזקה מסוגלת לצלם ווידאו ממצלמת רשת, להקליט שמע באמצעות התקני הקלטת השמע של המכשירים ולצלם צילומי מסך של המחשב הפרוץ. החוקרים מציינים שהנוזקה מסוגלת לצלם צילומי מסך של כל אחד מהחלונות הפתוחים בנפרד, מה שמאפשר לתוקפים לצלם צילומי מסך של תוכנות שרצות ברקע. בנוסף, התוכנה מאפשרת לתוקף לפתוח, ליצור ולמחוק קבצים, לאחזר את כל המידע בנוגע למערכת ואף יותר מזה – כל זה תוך כדי שהתוקפים נזהרים שלא להשאיר עדויות לפעילותם.
את כל הנתונים האלה ניתן לייצא לפקודה ולשָׁרָת שליטה המנוהל ע"י התוקפים, וניתן לנצל אותם לכל מטרה שעשויה להיות שימושית עבור האחראים לקמפיין ריגול הסייבר הזה. התוקפים יכולים גם לעקוב אחר המיקום המדויק של המכשיר – טקטיקה שימושית במידה ומדובר במחשב נייד שמועבר ממקום למקום.
אמיר כרמי, מנהל טכנולוגיות בחברת ESET בישראל מסביר כי "InvisiMole מסוגלת לסרוק רשתות אלחוטיות פתוחות במערכת הפרוצה. היא מתעדת נתונים כמו מזהה הרשת (SSID) וכתובת ה-MAC של נקודות הגישה האלחוטיות הגלויות. את הנתונים האלה ניתן להשוות לאחר מכן מול בסיסי מידע ציבוריים, מה שמאפשר לתוקפים לעקוב אחר המיקום הגיאוגרפי של הקורבן.
רמת התחכום של הנוזקה, יכולות ההסוואה, השמדת הראיות שלה ואפשרויות השליטה הנרחבות שיש לה מרחוק באמצעות יותר מ-80 פקודות אפשריות, מרמזות על כך שפותחה ע"י מדינה או ארגון שיש להם מספיק משאבים לפתח ולעדכן פרויקט בסדר גודל כזה לאורך 5 שנים לפחות."
מכיוון שהקמפיין התגלה רק לאחרונה, ניתן לשער שמפעיליו עדיין מבצעים מתקפות כנגד מטרות שנבחרו בקפידה. החוקרים פרסמו רשימה מלאה של אינדיקטורים (IoC, Indicators of Compromise).
