סייברביט חושפת פעילות כריית ביטקוין בנמל תעופה בינלאומי
עמי רוחקס דומבה
| 24/10/2019
bigstockphoto
סייברביט , חברת בת של אלביט מערכות, חשפה אפליקציות זדוניות לכריית ביטקוין מותקנות בנמל תעופה בינלאומי. החדירה זוהתה בעזרת תוכנת ניתוח התנהגותי (EDR) לאחר ששדה התעופה לא זיהה באמצעות מערכות אחרות פעילות זדונית שייתכן והתקיימה לאורך חודשים במספר גדול של מחשבים. זאת, למרות שבשדה התעופה היו מותקנות מערכות אנטי וירוס. חדירה מסוג זה עלולה לשמש גם לפגיעה במערכות קריטיות של השדה כדוגמת מסוע המזוודות, רכבות ועוד.
הפעילות זוהתה במהלך התקנת מערכת גילוי איומי סייבר של סייברביט. במהלך ההתקנה גילתה המערכת תוכנות כרייה מותקנות על יותר מחצי מהתחנות בשדה. תוכנות מסוג זה עשויות לחבל בפעולה תקינה של מערכות מחשב על ידי ניצול משאבי המחשב, ואף להגדיל משמעותית את צריכת החשמל בשדה ולשבש את פעילותו.
תוכנת הכרייה שהתגלתה היא תוכנה זדונית המוכרת מזה כשנה, למרות זאת היא לא זוהתה מאחר והתוקפים "ארזו" את הקובץ מחדש ובכך שינו את החתימה הדיגיטלית שלו. מדובר בפעילות חמקנית טיפוסית של תוקפים אשר מסייעת לעקוף את תוכנות האנטי וירוס, אשר מזהות קובץ על פי החתימה הדיגיטלית, ובכך לחדור לרשתות בארגונים גדולים, לגנוב מידע או לבצע נזקים אחרים.
בין השאר זיהתה סייברביט שיטות טעינת קבצים שמקובלות על ידי תוקפים, וכן קריאה מוגברת לתהליכים שונים במערכת ההפעלה, שרמזו על הפעילות. בחקירה נוספת של חוקרי החברה ההתראה אומתה ככורה "מונרו" – אחד מסוגי המטבע המוצפן המוכרים. סייברביט הסירה את התוכנה מהתחנות המודבקות וביצעה פעילות מניעתית שמונעת הדבקה דומה בעתיד.
bigstockphoto
סייברביט , חברת בת של אלביט מערכות, חשפה אפליקציות זדוניות לכריית ביטקוין מותקנות בנמל תעופה בינלאומי. החדירה זוהתה בעזרת תוכנת ניתוח התנהגותי (EDR) לאחר ששדה התעופה לא זיהה באמצעות מערכות אחרות פעילות זדונית שייתכן והתקיימה לאורך חודשים במספר גדול של מחשבים. זאת, למרות שבשדה התעופה היו מותקנות מערכות אנטי וירוס. חדירה מסוג זה עלולה לשמש גם לפגיעה במערכות קריטיות של השדה כדוגמת מסוע המזוודות, רכבות ועוד.
הפעילות זוהתה במהלך התקנת מערכת גילוי איומי סייבר של סייברביט. במהלך ההתקנה גילתה המערכת תוכנות כרייה מותקנות על יותר מחצי מהתחנות בשדה. תוכנות מסוג זה עשויות לחבל בפעולה תקינה של מערכות מחשב על ידי ניצול משאבי המחשב, ואף להגדיל משמעותית את צריכת החשמל בשדה ולשבש את פעילותו.
תוכנת הכרייה שהתגלתה היא תוכנה זדונית המוכרת מזה כשנה, למרות זאת היא לא זוהתה מאחר והתוקפים "ארזו" את הקובץ מחדש ובכך שינו את החתימה הדיגיטלית שלו. מדובר בפעילות חמקנית טיפוסית של תוקפים אשר מסייעת לעקוף את תוכנות האנטי וירוס, אשר מזהות קובץ על פי החתימה הדיגיטלית, ובכך לחדור לרשתות בארגונים גדולים, לגנוב מידע או לבצע נזקים אחרים.
בין השאר זיהתה סייברביט שיטות טעינת קבצים שמקובלות על ידי תוקפים, וכן קריאה מוגברת לתהליכים שונים במערכת ההפעלה, שרמזו על הפעילות. בחקירה נוספת של חוקרי החברה ההתראה אומתה ככורה "מונרו" – אחד מסוגי המטבע המוצפן המוכרים. סייברביט הסירה את התוכנה מהתחנות המודבקות וביצעה פעילות מניעתית שמונעת הדבקה דומה בעתיד.
