התקפת סייבר חדשה: "המסיכה"

קספרסקי: תוקפים דוברי ספרדית פגעו בגופים ממשלתיים, חברות אנרגיה, גז ונפט, וקורבנות נוספים בעלי פרופיל גבוה, באמצעות מערך כלים מורכב וחוצה פלטפורמות

צוות המחקר של מעבדת קספרסקי הכריז על חשיפת "המסיכה" (הידוע גם כ- Careto), שחקן חדש בנוף האיומים אשר מעורב בפעילות ריגול סייבר מאז 2007, לפחות.
מה שהופך את המסיכה לקמפיין ריגול מיוחד הוא מורכבות מערך הכלים שהופעל על ידי התוקפים. הוא כולל קוד זדוני מתוחכם מאוד של Rootkit, bootkit, גרסאות למערכות הפעלה Mac OS X ולינוקס, וכנראה גם גרסאות עבור אנדרואיד ו- iOS (אייפד ואייפון).
המטרות המרכזיות של פעילות הריגול היו גופים ממשלתיים, משרדים דיפלומטיים ושגרירויות, חברות גז ונפט, ארגוני מחקר ואקטיביסטים. קורבנות של ההתקפה הממוקדת אותרו ב- 31 מדינות מסביב לעולם – במזרח התיכון ואירופה, אפריקה ואמריקה.
היעד המרכזי של התוקפים הוא איסוף של מידע רגיש מהמערכות שנפגעו. אלה כוללים מסמכים משרדיים, ואיתם גם מפתחות הצפנה, הגדרות VPN, מפתחות SSH (זיהוי משתמש מול מערכות SSH) וקבצי RDP (המשמשים מערכות שליטה מרחוק כדי לפתוח קישור אוטומטי למחשב).
"ישנם מספר דברים שגורמים לנו להאמין שפעילות זו יכולה להיות ריגול המגובה על ידי מדינה. בעיקר, זיהינו רמת מקצוענות גבוהה מאוד בצורת העבודה של הקבוצה שמאחורי ההתקפה. מניהול התשתית, דרך הליך סגירת הפעילות, ועד להסתרה מעיניים חטטניות באמצעות חוקי גישה ושימוש בניקוי במקום מחיקה של קבצי לוג.
אם לוקחים בחשבון את כל ההיבטים הללו, המשמעות היא שמתקפת ה-APT הזו מורכבת ומתוחכמת יותר גם ממתקפת Duqu מה שהופך אותה לאיום המתקדם ביותר כרגע", אמר קוסטין ריו, מנהל צוות מחקר וניתוח בינלאומי של מעבדת קספרסקי. "רמה שכזו של אבטחת פעילות אינה אופיינית לקבוצות של עברייני סייבר".
חוקרי מעבדת קספרסקי התוודעו ל- Careto בשנה שעברה, כאשר זיהו ניסיון לנצל פירצה של מוצרי החברה אשר תוקנה כבר לפני 5 שנים. הפירצה אפשרה לקוד הזדוני להימנע מגילוי. הזיהוי הוביל לפתיחת החקירה.
פגיעתו של Carto יכולה להיות הרסנית. Careto מיירט את כל ערוצי התקשורת ואוסף את המידע החיוני ביותר מהמערכת הפגועה. זיהוי שלו הוא קשה מאוד בגלל יכולות חמקנות rootkit, פונקציות מובנות ומודולים נוספים לריגול סייבר.
ממצאים מרכזיים:
  • מסתמן כי הכותבים הם ממקור דובר ספרדית, ממצא נדיר בהתקפות APT 
  • קמפיין הריגול היה פעיל במהלך 5 השנים האחרונות עד ינואר 2014 (חלק מהדוגמיות של Careto יוצרו ב- 2007). במהלך החקירה של מעבדת קספרסקי, שרתי הפיקוד והשליטה נסגרו. 
  • נתקלנו בלמעלה מ- 380 קורבנות לרוחב יותר מ- 1000 כתובות IP. נפגעים אותרו ב: אלג'יריה, ארגנטינה, בלגיה, בוליביה, סין, קולומביה, קוסטה ריקה, קובה, מצריים, צרפת, גרמניה, גיברלטר, גוואטמלה, אירן, לוב, עיראק, מלזיה, מקסיקו, מרוקו, נורווגיה, פקיסטן, פולין, דרום אפריקה, ספרד, שווייץ, טוניסיה, טורקיה, בריטניה, ארה"ב וונצואלה. 
  • המורכבות והאוניברסליות של מערך הכלים שהופעל על ידי התוקפים, הופכים את פעילות ריגול הסייבר הזו למיוחדת מאוד. הדבר כולל ניצול פרצות בקצה הגבוה, קוד זדוני מתוחכם מאוד, rootkit, bootkit, וגרסאות מערכת ההפעלה של מחשבי מק ושל לינוקס, וכנראה גם גרסאות לאנדרואיד, אייפד ואייפון. "המסיכה" גם השתמש בהתקפה ייעודית נגד מוצרי מעבדת קספרסקי. 
  • בין ערוצי התקיפה נעשה שימוש בלפחות פירצה אחת של אדובי פלאש (CVE-2012-0773). היא תוכננה עבור גרסאות 10.3-11.2 של נגני פלאש. פירצה זו נחשפה לראשונה על ידי VUPEN ונעשה בה שימוש ב- 2012 כדי לנצח בתחרות ההאקרים של גוגל כרום CanSecWest Pwn2Own ב- 2012.

שיטות הדבקה ופונקציות
על פי דוח הניתוח של מעבדת קספרסקי, קמפיין "המסיכה" הסתמך על פישינג בהודעות דואר אלקטרוני ממוקדות עם קישורים לאתרים זדוניים. האתרים הזדוניים הכילו מספר פרצות שנועדו להדביק את המבקר בהתבסס על הגדרות מערכת ההפעלה שלו. בעת הדבקה מוצלחת, האתר הזדוני הפנה את הגולש אל האתר שאוזכר בהודעת הדואר האלקטרוני, שיכול להיות סרטון ביוטיוב או מאמר חדשותי.
חשוב לציין כי האתר המדביק לא עשה זאת באופן אוטומטי. במקום זאת, התוקפים איחסנו את קוד התקיפה בתיקיה מסויימת באתר, אשר לא הייתה משויכת לשום מקום, חוץ מאשר לדואר זדוני. לעיתים, התוקפים השתמשו בכתובות משנה של אתר התקיפה, כדי לגרום להם להיראות אמיתיים יותר.
אתרי משנה אלה מדמים אזורי משנה של עיתונים מובילים בספרד וכמה עיתונים בינלאומיים, כגון הגארדיאן או הוושינגטון פוסט.
הקוד הזדוני יירט את כל ערוצי התקשורת ואסף את המידע החיוני מתוך המערכת הפגועה. הזיהוי שלו הוא קשה מאוד בגלל יכולות חמקניות של rootkit. ה- Careto משתמש במערכת מודולרית מאוד, הוא תומך בתוספים וקבצי הגדרות, המאפשרים לו לבצע מספר גדול של פעולות.
בנוסף לפעולות המובנות, המפעילים של Careto יכולים להעלות מודולים נוספים המסוגלים לבצע משימות זדוניות.

You might be interested also

Photo: Haim Zach, GPO

Prime Minister Naftali Bennett with the head of the Mossad, David Barnea

The Mossad is hoping for a little quiet as new era dawns

Why did the interview given by Yossi Cohen to Ilana Dayan spark anger? Will the Mossad carry out fewer "daring operations" under Barnea? And who is expected to be selected soon as the next head of the ISA? A column by Amir Rapaport