חיבוק הדוב האנרגטי

קמפיין ריגול חדש בסייבר שנחשף על ידי סימנטק ו-crowdstrike ריגל אחר ארגונים במגזר האנרגיה, הביטחון והתעופה. לפי מומחים, כנראה הקמפיין מומן על ידי שירותי הביון של רוסיה

photo by: shutterstock.com

חברת סימנטק חשפה השבוע קמפיין ריגול בסייבר שנחשב לאחד המקצועיים ביותר מאז תולעת הסטוקסנט ב-2010 שפגעה בכור הגרעיני של אירן. גם הפעם מדובר בקמפיין שכוון למגזר האנרגיה והתשתיות הקריטיות. לקמפיין ניתן השם "שפירית" או "הדוב האנרגטי". קבוצת הדוב האנרגטי היא קבוצת האקרים רוסיים עם קשרים כנראה לממשל הרוסי שזוהתה על ידי חברת אבטחת המידע crowdstrike כבר באוגוסט 2012 (pdf).

על פי הממצאים של סימנטק, נראה כי התוקפים פעלו מאז 2011 לפחות ופגעו ב-1000 ארגונים ב-84 מדינות. מומחה לשעבר משירות הביון הבריטי MI6 אמר לאתר businessinsider שכנראה מדובר באנשים שעובדים עבור Fapsi, סוכנות הריגול האלקטרונית של רוסיה.

הם הצליחו לסכן מספר ארגונים עם חשיבות אסטרטגית לצורך ריגול והם גם היו יכולים לגרום נזק או שיבוש לאספקת האנרגיה במדינות שנפגעו. שני כלים העיקריים שהיו בשימוש בקבוצה הם סוסים טרויאניים מבוססי גישה מרוחקת (RAT) מסוג Backdoor.Oldrea ו-Trojan.Karagany.

מטרות

קמפיין השפירית בתחילה היה ממוקד בחברות ביטחון והתעופה בארה"ב ובקנדה לפני הסטת המיקוד לחברות אנרגיה בארה"ב ובאירופה בתחילת 2013. בין היעדים של השפירית היו מפעילי רשת אנרגיה (גריד), חברות ייצור חשמל גדולות, מפעילי צינורות נפט ויצרני ציוד מערכת בקרה לתעשייה (ICS). לפי אתר bloomberg אחת החברות היא Siemens AG.רוב הקורבנות היו ממוקמים בארצות הברית, ספרד, צרפת, איטליה, גרמניה, טורקיה ופולין.

טקטיקות, טכניקות, נהלים (TTP)

קבוצת השפירית השתמשה בשיטות התקפה שהתרכזו בחילוץ והעלאת נתונים גנובים, התקנת תוכנות זדוניות על גבי מערכות, והפעלת קבצי הפעלה במחשבים נגועים. הם גם היו מסוגלים להריץ תוספים נוספים כגון כלים לאיסוף סיסמאות, לקיחת צילומי מסך ולקטלג מסמכים במחשבים נגועים.

השלב הראשון של ההתקפות היה מורכב מקבוצה ששולחת תוכנות זדוניות בהודעות דוא"ל מתחזות לכוח האדם בחברות יעד. בשלב השני, הקבוצה הוסיפה וקטור תקיפה מסוג 'Water Hole' (הסבר), אשר מטרתה לפגוע באתרים פופולאריים בקרב מי שעובד במגזר האנרגיה על מנת להפנות אותם לאתרים המכילים קוד זדוני. בצורה כזו האתר הנגוע מעביר למחשב הגולש תוכנה זדוניות. השלב השלישי של הקמפיין היה 'טיפול' ( Trojanizing) בחבילות תוכנה לגיטימיות השייכות לשלושה יצרני ציוד ICS שונים.

החשד: קמפיין במימון מדינה

התקפת השפירית נושאת סימני היכר של פעולה בחסות מדינה. מוצגות בה רמה גבוהה של יכולת טכנית וכן עדות לכך שמדובר בקבוצה שממומנת טוב עם מגוון רחב של כלים ותוכנות זדוניות. היא מסוגלת לשגר התקפות מרובות תוך פגיעה באתרי צד שלישי רבים בתהליך. המניע העיקרי שלה נראה ריגול קיברנטי, עם פוטנציאל מובהק לחבלה כיכולת משנית.

קמפיין זה ממשיך את דרכו של ה-Stuxnet שהיה הקמפיין הראשון הידוע שהתמקד במערכות ICS. למרות שיש קווים מקבילים בין המניעים מאחורי Stuxnet ושפירית, נראה כי השפירית התמקד יותר בריגול ואילו ה- Stuxnet תוכנן במיוחד לחבלה.

ניתוח של חותמות זמן ההידור מצביע על כך שהקבוצה עבדה בעיקר בין יום שני לשישי, עם פעילות שהתרכזה בעיקר בתקופה של תשע שעות התואמת את מבנה יום העבודה 9:00-18:00 באזור הזמן UTC +4. בהתבסס על מידע זה, סביר להניח שהתוקפים מבוססים במזרח אירופה.

כלי גישה מרחוק / טרויאני (RAT)

שפירית משתמשת בשני חלקים עיקריים של תוכנה זדונית בהתקפותיו. שניהם כלי גישה מרחוק (RAT) המספקים לתוקפים גישה ושליטה על מחשבים שנפרצו. הכלי המועדף של השפירית הוא Backdoor.Oldrea אשר ידוע גם בשם Havex או Energetic Bear RAT. הוא פועל כדלת אחורית לתוקפים ממחשבו של הקורבן, ומאפשר להם לחלץ נתונים ולהתקין תוכנות זדוניות נוספות.

ה-Oldrea נראה כמו קוד מותאם אישית שנכתב על ידי הקבוצה עצמה או שנוצר עבורה. זה מספק אינדיקציה ליכולות והמשאבים מאחורי קבוצת השפירית.  לאחר התקנה על המחשב של קורבן, Oldrea אוסף מידע מהמערכת, יחד עם רשימות של קבצים, תוכניות מותקנות, ומבנה השורש של הכוננים הזמינים. הוא גם יחלץ נתונים מתוך ספר הכתובות של ה-Outlook וקבצי תצורת VPN. מידע זה נכתב לקובץ זמני בפורמט מוצפן לפני שהוא נשלח לשרת מרוחק (C & C) הנשלט על ידי התוקפים.

רוב שרתי ה-C & C נראה שמתארחים על שרתי מערכות ניהול תוכן שנפרצו, מה שמעיד כי התוקפים עשו שימוש חוזר בכלי התקיפה כדי להשתלט על כל שרת. יש ל-Oldrea לוח בקרה בסיסי המאפשר למשתמש מאומת להוריד גרסה דחוסה של נתונים גנובים לכל קורבן מסוים.

הכלי המרכזי השני בשימוש על ידי שפירית הוא Trojan.Karagany. שלא כמו Oldrea, ה-Karagany היה זמין בשוק 'שחור'. קוד המקור לגרסה 1 של Karagany הודלף כבר ב-2010. בסימנטק מאמינים כי השפירית אולי לקחה קוד מקור זה ושינתה אותו לשימוש עצמי. Karagany מסוגל להעלות את הנתונים שנגנבו, להוריד קבצים חדשים, ולהפעיל קבצי הפעלה במחשב נגוע. הוא גם מסוגל להריץ תוספים נוספים, כגון כלים לאיסוף סיסמאות, לקחת צילומי מסך, ולקטלג מסמכים במחשבים נגועים. שתי התוכנות הזדוניות דומות בפונקציונליות ולא ברור מה הנחה את התוקפים לבחור כלי אחד על פני האחר.

'טיפול' ביצרני הציוד  

שיטת ההתקפה השאפתנית ביותר של השפירית הייתה זיהום של מספר חבילות תוכנה לגיטימיות. שלושה יצרני ציוד מערכת בקרה תעשייתית (ICS) שונים נפגעו והקוד הזדוני הוכנס לתוך חבילות התוכנה שזמינות להורדה באתרי האינטרנט של היצרנים. כל שלוש החברות מפתחות ציוד המשמש במספר ענפי תעשייה, ובהם מגזר האנרגיה.

אחת התוכנות שזוהתה הייתה מוצר המשמש כדי לספק גישת VPN לבקר המתוכנת (PLC). הספק גילה את ההתקפה זמן קצר לאחר שהתוכנה עלתה לאתר, אבל היו כבר 250 הורדות ייחודיות של התוכנה שנפרצה.

החברה השנייה היא יצרנית אירופאית של מכשירים מסוג PLC. במקרה זה, חבילת תוכנה המכילה את מנהל התקן עבור אחד מהמכשירים שלה הייתה בסכנה. סימנטק מעריכה כי התוכנה הנגועה הייתה זמינה להורדה במשך לפחות שישה שבועות בחודשי יוני ויולי 2013.

החברה השלישית שהותקפה הייתה חברה אירופאית העוסקת בפיתוח מערכות לניהול טורבינות רוח, מפעלי ביו גז, ותשתיות אנרגיה אחרות. סימנטק מאמינה כי התוכנה שנפרצה אולי הייתה זמינה להורדה במשך כעשרה ימים בחודש אפריל 2014.

קבוצת השפירית מיומנת מבחינה טכנית ומסוגלת לחשוב באופן אסטרטגי. בהתחשב בגודלן של חלק מהמטרות שלה, הקבוצה מצאה "בטן רכה" על ידי זיהום ספקי הציוד, שהם תמיד קטנים יותר ופחות מוגנים.

מגזרים שנפגעו 

ענף תעופה - בארה"ב ובקנדה (טרום 2013)
תעשיית ביטחון - ארה"ב וקנדה (טרום 2013)
תעשיית אנרגיה - בארה"ב ובאירופה (ספרד, צרפת, איטליה, גרמניה, טורקיה, פולין)
מפעילי רשת אנרגיה (גריד)
חברות ייצור חשמל גדולות
מפעילי תשתיות נפט
​​יצרני ציוד של מערכת בקרה תעשייתית (ICS)

You might be interested also