זוהתה מתקפת סייבר שמקורה בסין
חוקרי ענקית אבטחת המידע טרנד מיקרו (Trend Micro) זיהו מתקפת סייבר גלובלית ומתקדמת בהיקף נרחב אשר פגעה עד כה במחשבים השייכים לארגוני ממשל, חברות טכנולוגיה, חברות מדיה, אקדמיה וגופי מחקר במעל 100 מדינות
הגנה לישראל
| 19/05/2011
via shutterstock.com
מדובר במתקפה מכוונת ומתמשכת מסוג APT (Advanced Persistent Threats) אשר מכונה בפי מומחי טרנד מיקרו SafeNet (חשוב להדגיש כי אין קשר בין המתקפה לבין חברת SafeNet). המתקפה, שמקורה ככל הנראה בפעילות מחתרתית בסין, פוגעת בקורבנות פוטנציאליים באמצעות שליחת דואר פישינג מכוון (Spear phishing), הכוללות קבצי נוזקה הרלוונטיות ומותאמות למאפייני הנמען וכך מפתות אותו לפתוח אותם - טכניקה המוכרת מאוד במתקפות מסוג APT . החקירה העלתה כי שתי קבוצות של שרתי פיקוד ושליטה (C&C) שימשו את שתי המתקפות שזוהו עד כה מטרות שונות תוך שימוש בנוזקות זהות.
מתקפה אחת, נוקטת בשימוש ב – spear phishing הכולל תוכן הקשור לטיבט ומונגוליה ונושאות קבצי וורד המנצלות את הפגיעות של הטלאים (Patch) של מיקרוסופט שתוקנו בחודש אפריל 2012. ניטור של קבצים בדיווחי ה – Logחשף כתובות IP של 243 מ – 11 מדינות אולם החוקרים מצאו כי רק שלושה קורבנות היו פעילים בעת החקירה עם כתובותIP ממונגוליה וסודן. לעומת זאת, מבדיקת קבצי ה – log במתקפה השנייה עולה כי היקף הפגיעה עמד על 11,563 כתובות IP שהותקפו אולם להערכת המומחים מדובר במספר נמוך מכך. רוב המחשבים הנפגעים הם מהודו, ארה"ב, סין, פקיסטן, הפיליפינים ורוסיה.
לפי המומחים, מטרת המתקפות היא לגנוב מידע מהמחשבים הנגועים אך הפונקציונליות של המתקפות יכולה להיות אף גדולה יותר באמצעות הוספת מודולים לנוזקות. החוקרים איתרו רכיבי plug-in על גבי שרתי הפיקוד והשליטה כמו גם תוכנות off-the shelf המיועדות לחלץ סיסמאות מתוך דפדפני מוזילה ופיירפוקס כמו גם פרוטוקולים של אישורי דסקטופ מרוחקים השמורים על גבי תוכנת windows.
"בעוד שקביעת זהותם של התוקפים והכוונה העומדת מאחורי המתקפות נותרת לעיתים קשה לקבוע, ניתן לומר כי מתקפות ה – SafeNet פותחו על ידי מהנדס תוכנה מקצועי אשר עלול להיות קשור ככל הנראה לפעילות מחתרתית בסין", כותבים המומחים בדוח. "פעילות זו מלמדת כי הוא למד באוניברסיטה טכנולוגית בולטת במדינה זו ומנצל את הנגישות שלו למאגרי קודי המקור של חברות האינטרנט".
יש לציין כי נגד איומיAPT מסוג זה, מציעה טרנד מיקרו לארגונים את מערכת Deep Discovery שפותחה במטרה להתמודד עם מתקפות אלה. המערכת מספקת מעטפת הגנה רחבה, רב-שכבתית המבוססת על ניטור ודיווח בזמן אמת, אמצעי ניתוח לאיתור זהות התוקף ומתן מענה תוך שימוש בטכניקות מתקדמות דוגמת sandboxing.
לקריאת הדוח המלא:http://bit.ly/13DDX0J
הכתבה פורסמה לראשונה באתר ישראל טק
מדובר במתקפה מכוונת ומתמשכת מסוג APT (Advanced Persistent Threats) אשר מכונה בפי מומחי טרנד מיקרו SafeNet (חשוב להדגיש כי אין קשר בין המתקפה לבין חברת SafeNet). המתקפה, שמקורה ככל הנראה בפעילות מחתרתית בסין, פוגעת בקורבנות פוטנציאליים באמצעות שליחת דואר פישינג מכוון (Spear phishing), הכוללות קבצי נוזקה הרלוונטיות ומותאמות למאפייני הנמען וכך מפתות אותו לפתוח אותם - טכניקה המוכרת מאוד במתקפות מסוג APT . החקירה העלתה כי שתי קבוצות של שרתי פיקוד ושליטה (C&C) שימשו את שתי המתקפות שזוהו עד כה מטרות שונות תוך שימוש בנוזקות זהות.
מתקפה אחת, נוקטת בשימוש ב – spear phishing הכולל תוכן הקשור לטיבט ומונגוליה ונושאות קבצי וורד המנצלות את הפגיעות של הטלאים (Patch) של מיקרוסופט שתוקנו בחודש אפריל 2012. ניטור של קבצים בדיווחי ה – Logחשף כתובות IP של 243 מ – 11 מדינות אולם החוקרים מצאו כי רק שלושה קורבנות היו פעילים בעת החקירה עם כתובותIP ממונגוליה וסודן. לעומת זאת, מבדיקת קבצי ה – log במתקפה השנייה עולה כי היקף הפגיעה עמד על 11,563 כתובות IP שהותקפו אולם להערכת המומחים מדובר במספר נמוך מכך. רוב המחשבים הנפגעים הם מהודו, ארה"ב, סין, פקיסטן, הפיליפינים ורוסיה.
לפי המומחים, מטרת המתקפות היא לגנוב מידע מהמחשבים הנגועים אך הפונקציונליות של המתקפות יכולה להיות אף גדולה יותר באמצעות הוספת מודולים לנוזקות. החוקרים איתרו רכיבי plug-in על גבי שרתי הפיקוד והשליטה כמו גם תוכנות off-the shelf המיועדות לחלץ סיסמאות מתוך דפדפני מוזילה ופיירפוקס כמו גם פרוטוקולים של אישורי דסקטופ מרוחקים השמורים על גבי תוכנת windows.
"בעוד שקביעת זהותם של התוקפים והכוונה העומדת מאחורי המתקפות נותרת לעיתים קשה לקבוע, ניתן לומר כי מתקפות ה – SafeNet פותחו על ידי מהנדס תוכנה מקצועי אשר עלול להיות קשור ככל הנראה לפעילות מחתרתית בסין", כותבים המומחים בדוח. "פעילות זו מלמדת כי הוא למד באוניברסיטה טכנולוגית בולטת במדינה זו ומנצל את הנגישות שלו למאגרי קודי המקור של חברות האינטרנט".
יש לציין כי נגד איומיAPT מסוג זה, מציעה טרנד מיקרו לארגונים את מערכת Deep Discovery שפותחה במטרה להתמודד עם מתקפות אלה. המערכת מספקת מעטפת הגנה רחבה, רב-שכבתית המבוססת על ניטור ודיווח בזמן אמת, אמצעי ניתוח לאיתור זהות התוקף ומתן מענה תוך שימוש בטכניקות מתקדמות דוגמת sandboxing.
לקריאת הדוח המלא:http://bit.ly/13DDX0J
הכתבה פורסמה לראשונה באתר ישראל טק
