סיגניה: קבוצת האקרים פעלה ארבע שנים נגד בנקים באמריקה הלטינית
הקבוצה יכולה לשתול עסקאות מזויפות לתוך זרם העסקאות הלגיטימיות. עסקאות אלה בנויות ומעוצבות להיראות כלגיטימיות, אך למעשה מושכות מהקורבן סכומי כסף הולכים וגדלים בלי שאף אחד ישים לב
עמי רוחקס דומבה
| 05/01/2022
צילום: סיגניה
חברת הסייבר סיגניה (Sygnia) הישראלית, חושפת רשת סייבר בינלאומית שתקפה גופים וארגונים מהמגזר הפיננסי באמריקה הלטינית בשנים האחרונות. קבוצת ההאקרים, המכונה Elephant Beetle, הסתננה לתוך ארגונים וגנבה מהם כספים הנאמדים במיליוני דולרים, זאת על-ידי החדרת עסקאות מזויפות למחזור הפעילות הסדיר. להערכת החברה, הפריצה לגופים הפיננסיים החלה לפני יותר מארבע שנים.
בסיגניה מציינים כי על אף שההאקרים התמקדו בעיקר באמריקה הלטינית, סכנה נשקפה גם לגופים ישראלים, אמריקאים וזרים אחרים הפועלים באותן מדינות. כך לדוגמה, צוותי ה-IR (Incident Response) של החברה גילו פריצה לפעילות של חברה מארה"ב הפועלת באמריקה הלטינית.
בדו"ח שמפרסמת סיגניה מפורטים שלבי הזיהוי, האיתור – וכן ניטרול של פעילות הקבוצה על-ידי צוות התגובה לאירועי סייבר (IR) של סיגניה. בין היתר, החוקרים הישראליים חושפים את שיטת הפעולה של התוקפים, מנתחים לעומק את היכולות שלהם ומספקים תובנות שניתן לפעול לפיהן, אינדיקטורים לפריצה (IOC) והנחיות להגנה מפני המתקפות.
לדברי אריה זילברשטיין, VP Incident Response בסיגניה, "התוקפים למדו את המערכות הפיננסיות של הקורבנות והשתמשו בארסנל רחב מאוד של כלי תקיפה כדי לפעול ברשת למשך פרקי זמן ארוכים מבלי שיבחינו בהם. על-ידי הנגישות הרחבה לרשת וההבנה הפיננסית, הם בסופו של דבר הצליחו לגנוב מיליוני דולרים מארגונים רבים באופן שיטתי ומתמשך לאורך שנים.
״זוהי מתקפה גאונית בפשטותה, שמבוססת על טקטיקה שמאפשרת לתוקפים לפעול בחשאיות בתוך הארגון, ובמקרה הזה גם ללא צורך לפתח ולממש חולשות אבטחה ייעודיות".
עוד מציין אריה זילברשטיין, כי "מדובר בקבוצה מיומנת ביותר במתקפות אפליקטיביות, ובפרט אפליקציות Java ישנות ולא מתוחזקות שפועלות בשרתים מבוססי Linux כאמצעי לכניסה הראשונית לרשת. בשילוב עם הידע הפיננסי האופרטיבי הרחב שצברה הקבוצה במהלך הפעילות שלה, ומשכי השהייה הארוכים ברשתות הקורבנות, אפשר לומר שמדובר בקבוצת תקיפה מתוחכמת למדי".
כך פעל קרטל הסייבר: שלב אחר שלב
אמנון קושניר, חוקר אבטחה ו-Incident Response בסיגניה מסביר כי הפעילות של קבוצת Elephant Beetle מבוססת על דפוס פעולה מאורגן וסדור. בשלב הראשון, שיכול להימשך עד חודש, הקבוצה מתמקדת בבניית יכולות תפעולית ברשת של הקורבן שנפרצה. הקבוצה לומדת את הסביבה ושותלת דלתות אחוריות (Backdoors), ובו זמנית מתאימה את הכלים שלה לעבודה ברשת של הקורבן.
לאחר מכן, הקבוצה משקיעה מספר חודשים בלמידת הסביבה של הקורבן, תוך התמקדות בפעולות הפיננסיות, ומאתרת את הפגמים שקיימים במערכת. במהלך שלב זה, היא בוחנת את התוכנה ואת התשתית של הקורבן כדי להבין את התהליך הטכני העומד בבסיסן של עסקאות פיננסיות לגיטימיות.
בשלב הבא הקבוצה יכולה לשתול עסקאות מזויפות לתוך זרם העסקאות הלגיטימיות. עסקאות אלה בנויות ומעוצבות להיראות כלגיטימיות, אך למעשה מושכות מהקורבן סכומי כסף הולכים וגדלים בלי שאף אחד ישים לב. על אף שסכום הכסף שנגנב בכל עסקה עשוי להיראות זניח, הקבוצה מבצעת עסקאות רבות בסכומים מצטברים של מיליוני דולרים לפני שהיא ממשיכה הלאה.
אם בזמן התהליך נחשפת ונחסמת פעילות ההונאה, הקבוצה פשוט שומרת על פרופיל נמוך במשך מספר חודשים ולאחר מכן חוזרת ומתמקדת במערכת אחרת.
אריה זילברשטיין מוסיף כי "במקרה אחד, זיהינו שפעילות הקבוצה נמשכה על פני למעלה משלוש שנים – ובמהלך החקירה הצלחנו למצוא עדויות למספר מבצעי גניבה וזיוף שיצאו לפועל באמצעות הנגישות לרשת לאורך השנים. במהלך החקירה, הצלחנו לזהות את כל הכלים שהתוקף השריש בכל רחבי הארגון ולהסיר אותם במבצע מתוזמן בבת אחת – תוך כדי שאנחנו מונעים ממנו לחזור בשיטות ובניצול חולשות אחרות בארגון".
הקבוצה יכולה לשתול עסקאות מזויפות לתוך זרם העסקאות הלגיטימיות. עסקאות אלה בנויות ומעוצבות להיראות כלגיטימיות, אך למעשה מושכות מהקורבן סכומי כסף הולכים וגדלים בלי שאף אחד ישים לב
צילום: סיגניה
חברת הסייבר סיגניה (Sygnia) הישראלית, חושפת רשת סייבר בינלאומית שתקפה גופים וארגונים מהמגזר הפיננסי באמריקה הלטינית בשנים האחרונות. קבוצת ההאקרים, המכונה Elephant Beetle, הסתננה לתוך ארגונים וגנבה מהם כספים הנאמדים במיליוני דולרים, זאת על-ידי החדרת עסקאות מזויפות למחזור הפעילות הסדיר. להערכת החברה, הפריצה לגופים הפיננסיים החלה לפני יותר מארבע שנים.
בסיגניה מציינים כי על אף שההאקרים התמקדו בעיקר באמריקה הלטינית, סכנה נשקפה גם לגופים ישראלים, אמריקאים וזרים אחרים הפועלים באותן מדינות. כך לדוגמה, צוותי ה-IR (Incident Response) של החברה גילו פריצה לפעילות של חברה מארה"ב הפועלת באמריקה הלטינית.
בדו"ח שמפרסמת סיגניה מפורטים שלבי הזיהוי, האיתור – וכן ניטרול של פעילות הקבוצה על-ידי צוות התגובה לאירועי סייבר (IR) של סיגניה. בין היתר, החוקרים הישראליים חושפים את שיטת הפעולה של התוקפים, מנתחים לעומק את היכולות שלהם ומספקים תובנות שניתן לפעול לפיהן, אינדיקטורים לפריצה (IOC) והנחיות להגנה מפני המתקפות.
לדברי אריה זילברשטיין, VP Incident Response בסיגניה, "התוקפים למדו את המערכות הפיננסיות של הקורבנות והשתמשו בארסנל רחב מאוד של כלי תקיפה כדי לפעול ברשת למשך פרקי זמן ארוכים מבלי שיבחינו בהם. על-ידי הנגישות הרחבה לרשת וההבנה הפיננסית, הם בסופו של דבר הצליחו לגנוב מיליוני דולרים מארגונים רבים באופן שיטתי ומתמשך לאורך שנים.
״זוהי מתקפה גאונית בפשטותה, שמבוססת על טקטיקה שמאפשרת לתוקפים לפעול בחשאיות בתוך הארגון, ובמקרה הזה גם ללא צורך לפתח ולממש חולשות אבטחה ייעודיות".
עוד מציין אריה זילברשטיין, כי "מדובר בקבוצה מיומנת ביותר במתקפות אפליקטיביות, ובפרט אפליקציות Java ישנות ולא מתוחזקות שפועלות בשרתים מבוססי Linux כאמצעי לכניסה הראשונית לרשת. בשילוב עם הידע הפיננסי האופרטיבי הרחב שצברה הקבוצה במהלך הפעילות שלה, ומשכי השהייה הארוכים ברשתות הקורבנות, אפשר לומר שמדובר בקבוצת תקיפה מתוחכמת למדי".
כך פעל קרטל הסייבר: שלב אחר שלב
אמנון קושניר, חוקר אבטחה ו-Incident Response בסיגניה מסביר כי הפעילות של קבוצת Elephant Beetle מבוססת על דפוס פעולה מאורגן וסדור. בשלב הראשון, שיכול להימשך עד חודש, הקבוצה מתמקדת בבניית יכולות תפעולית ברשת של הקורבן שנפרצה. הקבוצה לומדת את הסביבה ושותלת דלתות אחוריות (Backdoors), ובו זמנית מתאימה את הכלים שלה לעבודה ברשת של הקורבן.
לאחר מכן, הקבוצה משקיעה מספר חודשים בלמידת הסביבה של הקורבן, תוך התמקדות בפעולות הפיננסיות, ומאתרת את הפגמים שקיימים במערכת. במהלך שלב זה, היא בוחנת את התוכנה ואת התשתית של הקורבן כדי להבין את התהליך הטכני העומד בבסיסן של עסקאות פיננסיות לגיטימיות.
בשלב הבא הקבוצה יכולה לשתול עסקאות מזויפות לתוך זרם העסקאות הלגיטימיות. עסקאות אלה בנויות ומעוצבות להיראות כלגיטימיות, אך למעשה מושכות מהקורבן סכומי כסף הולכים וגדלים בלי שאף אחד ישים לב. על אף שסכום הכסף שנגנב בכל עסקה עשוי להיראות זניח, הקבוצה מבצעת עסקאות רבות בסכומים מצטברים של מיליוני דולרים לפני שהיא ממשיכה הלאה.
אם בזמן התהליך נחשפת ונחסמת פעילות ההונאה, הקבוצה פשוט שומרת על פרופיל נמוך במשך מספר חודשים ולאחר מכן חוזרת ומתמקדת במערכת אחרת.
אריה זילברשטיין מוסיף כי "במקרה אחד, זיהינו שפעילות הקבוצה נמשכה על פני למעלה משלוש שנים – ובמהלך החקירה הצלחנו למצוא עדויות למספר מבצעי גניבה וזיוף שיצאו לפועל באמצעות הנגישות לרשת לאורך השנים. במהלך החקירה, הצלחנו לזהות את כל הכלים שהתוקף השריש בכל רחבי הארגון ולהסיר אותם במבצע מתוזמן בבת אחת – תוך כדי שאנחנו מונעים ממנו לחזור בשיטות ובניצול חולשות אחרות בארגון".
