מחקר של מעבדות סייברארק: כך מנצלת קבוצת פשיעה את אפליקציית Discord להלבנת כספים ולמתקפות אקטיביסטיות
קבוצת Kurdistan 4455 הינה קבוצת תוקפים פרו-כורדית המבוססת בטורקיה. הקבוצה עושה שימוש בפלטפורמת Discord לצרכים זדוניים באמצעות נוזקת Vare שמשתמשת בפלטפורמה
עמי רוחקס דומבה
| 13/04/2023
תמונה: סייברארק
מעבדות סייברארק של חברת CyberArk הישראלית מפרסמת היום מחקר על נוזקה (malware) חדשה שפוגעת במשתמשי Discord, אפליקציית צ'ט פופולרית (שיחות קוליות ושיחות וידאו) עם יותר מ-300 מיליון משתמשים בעולם. במחקר החדש הצליחו החוקרים להתחקות אחורה על עקבות התוקפים, עד שהגיעו לקבוצת פשיעת סייבר מתפתחת במזרח התיכון בשם “Kurdistan 4455” שיצרה כלי חדש להלבנת כספים ולמתקפות אקטיביסטיות באמצעות נוזקה שנקראת Vare.
קבוצת Kurdistan 4455 הינה קבוצת תוקפים פרו-כורדית המבוססת בטורקיה. הקבוצה עושה שימוש בפלטפורמת Discord לצרכים זדוניים באמצעות נוזקת Vare שמשתמשת בפלטפורמה, וספציפית נמצאה במספר קהילות שונות שלה. כאמור, דיסקורד הינה פלטפורמה מבוססת קהילה, בה אנשים משתפים מידע ונפגשים זה עם זה לפי תחומי עניין לצורך החלפת אינפורמציה, דבר אשר יוצר המון אמון בין אנשים עם תחומי עניין דומים.
במהלך המחקר, גילו החוקרים שתוקפי Kurdistan 4455 כתבו נוזקה שמתחזה לתוכנה שבונה נוזקות, כאשר אותה נוזקה הוצעה בקהילות של אנשים שמחפשים תוכנות לבניית נוזקות, במטרה לתקוף תוקפים שנמצאים בדיסקורד. המטרה של כורדיסטן 4455 היא לתקוף את אותם תוקפים כדי ליצור אפקט של 'פירמידת שרשרת אספקה'.
כלומר, להציע את הנוזקה לתוקפים ובסוף לזכות במידע שהתוקפים משיגים כמו מספרי כרטיסי אשראי, סיסמאות, קבצי עוגיות והיסטוריית גלישה. הנזק הטמון בכך הינו, גניבת כסף, פרטים אישיים וגנבת הזהות הדיגיטלית של הקורבן ולא פחות נורא מזה - השתלטות על חשבונות מרחוק, מה שיכול לאפשר תקיפות נוספות כמו למשל על הרשת של הקורבן.
בנוסף, יצויין כי גם ארגונים גדולים מאמצים את Discord (אפילו הצבא האוקראיני משתמש באפליקציה למטרות תקשורת אסטרטגיות), לפיכך הנוזקה יוצרת סיכון גדול מאוד וחושפת רשתות ארגוניות למתקפות שליטה ובקרה (command and control).
פן נוסף שנמצא במחקר הינה הסכנה הטמונה בניצול של משתמשים צעירים בדיסקורד, היות והפלטפורמה התחילה כאפליקציית צ'ט לגיימרים שמטבעה מושכת אליה משתמשים צעירים רבים, בהם גם קטינים. אותם משתמשים מרבים לתת אמון רב אחד בשני, למרות האנונימיות של המשתמשים, מה שעלול לסכן אותם בחשיפה למטרות זדוניות של קבוצות תוקפים. התובנה הזו דורשת מהורים להיות יותר מעורבים וערניים לגבי הפעילות של ילדיהם בדיסקורד.
מדובר במחקר ראשון מסוגו שחושף את ממדי הסכנה ב-Discord, ובניגוד למחקרים קודמים, שהראו כיצד קבוצות תוקפות משתמשים של דיסקורד, לראשונה נראה איך קבוצות תוקפות קבוצות תקיפה אחרות, כיצד הם מנצלים את התשתית של דיסקורד לרעה וכיצד בעיה זאת קיימת גם בפלטפורמות דומות. חשוב לציין שצוות המעבדה ניסו לעדכן את דיסקורד דרך כל הערוצים מקובלים - אך לא קיבלו מענה הולם בשום פלטפורמה.
"עיקר השימוש בדיסקורד הוא בשעות הפנאי אבל בהרבה מקרים נעשה שימוש במחשבים הארגוניים של העובדים כדי להיכנס לפלטפורמה ולכן זה מאוד בעייתי. הורדת תוכנה זדונית למחשב יכולה לתת לתוקפים אחיזה ראשונה במחשבי החברה ומשם יהיה להם קל יותר להגיע למידע רגיש." מספרים חוקרים בכירים במעבדות סייברארק.
עוד מוסיפים החוקרים במעבדות סייברארק: "אנשים, ובעיקר ארגונים, צריכים לדעת יותר על סיכונים בקהילות המקוונות השונות, בעיקר אם המשתשים אנונימים. אין לתת מידע רגיש כמו סיסמאות או מידע אישי לשום גורם, וכמובן לא להריץ קבצים שמורדים ממקורות לא רשמיים'".
קבוצת Kurdistan 4455 הינה קבוצת תוקפים פרו-כורדית המבוססת בטורקיה. הקבוצה עושה שימוש בפלטפורמת Discord לצרכים זדוניים באמצעות נוזקת Vare שמשתמשת בפלטפורמה
תמונה: סייברארק
מעבדות סייברארק של חברת CyberArk הישראלית מפרסמת היום מחקר על נוזקה (malware) חדשה שפוגעת במשתמשי Discord, אפליקציית צ'ט פופולרית (שיחות קוליות ושיחות וידאו) עם יותר מ-300 מיליון משתמשים בעולם. במחקר החדש הצליחו החוקרים להתחקות אחורה על עקבות התוקפים, עד שהגיעו לקבוצת פשיעת סייבר מתפתחת במזרח התיכון בשם “Kurdistan 4455” שיצרה כלי חדש להלבנת כספים ולמתקפות אקטיביסטיות באמצעות נוזקה שנקראת Vare.
קבוצת Kurdistan 4455 הינה קבוצת תוקפים פרו-כורדית המבוססת בטורקיה. הקבוצה עושה שימוש בפלטפורמת Discord לצרכים זדוניים באמצעות נוזקת Vare שמשתמשת בפלטפורמה, וספציפית נמצאה במספר קהילות שונות שלה. כאמור, דיסקורד הינה פלטפורמה מבוססת קהילה, בה אנשים משתפים מידע ונפגשים זה עם זה לפי תחומי עניין לצורך החלפת אינפורמציה, דבר אשר יוצר המון אמון בין אנשים עם תחומי עניין דומים.
במהלך המחקר, גילו החוקרים שתוקפי Kurdistan 4455 כתבו נוזקה שמתחזה לתוכנה שבונה נוזקות, כאשר אותה נוזקה הוצעה בקהילות של אנשים שמחפשים תוכנות לבניית נוזקות, במטרה לתקוף תוקפים שנמצאים בדיסקורד. המטרה של כורדיסטן 4455 היא לתקוף את אותם תוקפים כדי ליצור אפקט של 'פירמידת שרשרת אספקה'.
כלומר, להציע את הנוזקה לתוקפים ובסוף לזכות במידע שהתוקפים משיגים כמו מספרי כרטיסי אשראי, סיסמאות, קבצי עוגיות והיסטוריית גלישה. הנזק הטמון בכך הינו, גניבת כסף, פרטים אישיים וגנבת הזהות הדיגיטלית של הקורבן ולא פחות נורא מזה - השתלטות על חשבונות מרחוק, מה שיכול לאפשר תקיפות נוספות כמו למשל על הרשת של הקורבן.
בנוסף, יצויין כי גם ארגונים גדולים מאמצים את Discord (אפילו הצבא האוקראיני משתמש באפליקציה למטרות תקשורת אסטרטגיות), לפיכך הנוזקה יוצרת סיכון גדול מאוד וחושפת רשתות ארגוניות למתקפות שליטה ובקרה (command and control).
פן נוסף שנמצא במחקר הינה הסכנה הטמונה בניצול של משתמשים צעירים בדיסקורד, היות והפלטפורמה התחילה כאפליקציית צ'ט לגיימרים שמטבעה מושכת אליה משתמשים צעירים רבים, בהם גם קטינים. אותם משתמשים מרבים לתת אמון רב אחד בשני, למרות האנונימיות של המשתמשים, מה שעלול לסכן אותם בחשיפה למטרות זדוניות של קבוצות תוקפים. התובנה הזו דורשת מהורים להיות יותר מעורבים וערניים לגבי הפעילות של ילדיהם בדיסקורד.
מדובר במחקר ראשון מסוגו שחושף את ממדי הסכנה ב-Discord, ובניגוד למחקרים קודמים, שהראו כיצד קבוצות תוקפות משתמשים של דיסקורד, לראשונה נראה איך קבוצות תוקפות קבוצות תקיפה אחרות, כיצד הם מנצלים את התשתית של דיסקורד לרעה וכיצד בעיה זאת קיימת גם בפלטפורמות דומות. חשוב לציין שצוות המעבדה ניסו לעדכן את דיסקורד דרך כל הערוצים מקובלים - אך לא קיבלו מענה הולם בשום פלטפורמה.
"עיקר השימוש בדיסקורד הוא בשעות הפנאי אבל בהרבה מקרים נעשה שימוש במחשבים הארגוניים של העובדים כדי להיכנס לפלטפורמה ולכן זה מאוד בעייתי. הורדת תוכנה זדונית למחשב יכולה לתת לתוקפים אחיזה ראשונה במחשבי החברה ומשם יהיה להם קל יותר להגיע למידע רגיש." מספרים חוקרים בכירים במעבדות סייברארק.
עוד מוסיפים החוקרים במעבדות סייברארק: "אנשים, ובעיקר ארגונים, צריכים לדעת יותר על סיכונים בקהילות המקוונות השונות, בעיקר אם המשתשים אנונימים. אין לתת מידע רגיש כמו סיסמאות או מידע אישי לשום גורם, וכמובן לא להריץ קבצים שמורדים ממקורות לא רשמיים'".
