התגלתה דרך ההפעלה של דלת אחורית המשמשת את קבוצת התקיפה Fancy Bear
עמי רוחקס דומבה
| 26/05/2019
bigstockphoto
במשך שנים קבוצת התקיפה הידועה כיכבה בכותרות גם בשמות נוספים Sednit, APT28, Sofacy ו-STRONTIUM תוקפת מטרות באירופה, מרכז אסיה והמזרח התיכון ודרכי הפעולה שלה השתכללו באופן דרסטי. כעת החוקרים של ESET מפרסמים את הממצאים האחרונים אודות הקבוצה, יכולות הדלת האחורית “zebrocy” משוכללות יותר וכוללות יכולת ביצוע של יותר מ-30 פקודות שונות במחשב הנפגע.
הפקודות הראשוניות כמו צילומי מסך ומידע נוסף על הרשת והמערכת, מאפשרות לתוקפים להסיק האם מדובר במטרת איכות ובהתאם, להשתמש בפקודות נוספות כמו שליפה של כל המסמכים מיום נבחר או מחודש שלם. הדלת האחורית מסיימת את פעולתה במהירות וברגע ששולחת מידע אודות המערכת, המפעיל תופס שליטה ומתחיל בשליחת פקודות נוספות זאת כאשר התהליך כולו לוקח דקות בודדות בלבד. במידה ומתגלה שהמטרה מעניינת במיוחד, תישלח אל הקורבן דלת אחורית נוספת עם יכולות נוספות.
בנוסף, במסגרת הקמפיין הנ"ל Fancy Bear לראשונה השתמשה ב-Spear Phishing והפיצה מייל בו לינק זדוני מקוצר המוביל לשלב הראשון של הדלת האחורית. זוהי דרך לא שגרתית שכן הקבוצה לא השתמשה עד כה בטכניקה של שליחה ישירה של הנוזקה לנתקפים והפעם נשענה באופן מלא על הנדסה חברתית על מנת למשוך קורבנות להריץ את השלב הראשון בשרשרת התקיפה.
יחס הגילוי של דלת אחורית זו הינו נמוך מהרגיל הודות להתקפה ממוקדת על רשימת מטרות מצומצת, זמן פעולה קצר מרגע ההפעלה והסרה מהירה של הדלת האחורית על ידי התוקפים בעת שהשיגו את מטרתם, זאת על מנת לחמוק מזיהוי וניתוח של הדלת האחורית ע"י חוקרי אבטחה.
לקריאת המחקר המלא, לחצו כאן
bigstockphoto
במשך שנים קבוצת התקיפה הידועה כיכבה בכותרות גם בשמות נוספים Sednit, APT28, Sofacy ו-STRONTIUM תוקפת מטרות באירופה, מרכז אסיה והמזרח התיכון ודרכי הפעולה שלה השתכללו באופן דרסטי. כעת החוקרים של ESET מפרסמים את הממצאים האחרונים אודות הקבוצה, יכולות הדלת האחורית “zebrocy” משוכללות יותר וכוללות יכולת ביצוע של יותר מ-30 פקודות שונות במחשב הנפגע.
הפקודות הראשוניות כמו צילומי מסך ומידע נוסף על הרשת והמערכת, מאפשרות לתוקפים להסיק האם מדובר במטרת איכות ובהתאם, להשתמש בפקודות נוספות כמו שליפה של כל המסמכים מיום נבחר או מחודש שלם. הדלת האחורית מסיימת את פעולתה במהירות וברגע ששולחת מידע אודות המערכת, המפעיל תופס שליטה ומתחיל בשליחת פקודות נוספות זאת כאשר התהליך כולו לוקח דקות בודדות בלבד. במידה ומתגלה שהמטרה מעניינת במיוחד, תישלח אל הקורבן דלת אחורית נוספת עם יכולות נוספות.
בנוסף, במסגרת הקמפיין הנ"ל Fancy Bear לראשונה השתמשה ב-Spear Phishing והפיצה מייל בו לינק זדוני מקוצר המוביל לשלב הראשון של הדלת האחורית. זוהי דרך לא שגרתית שכן הקבוצה לא השתמשה עד כה בטכניקה של שליחה ישירה של הנוזקה לנתקפים והפעם נשענה באופן מלא על הנדסה חברתית על מנת למשוך קורבנות להריץ את השלב הראשון בשרשרת התקיפה.
יחס הגילוי של דלת אחורית זו הינו נמוך מהרגיל הודות להתקפה ממוקדת על רשימת מטרות מצומצת, זמן פעולה קצר מרגע ההפעלה והסרה מהירה של הדלת האחורית על ידי התוקפים בעת שהשיגו את מטרתם, זאת על מנת לחמוק מזיהוי וניתוח של הדלת האחורית ע"י חוקרי אבטחה.
לקריאת המחקר המלא, לחצו כאן
