גוברת מיומנות של תוקפי סייבר בשימוש בטקטיקות הטעיה - False Flags

דף הבית >> חדשות אבטחה ועולם הסייבר >> גוברת מיומנות של תוקפי סייבר בשימוש בטקטיקות הטעיה - False Flags
גוברת מיומנות של תוקפי סייבר בשימוש בטקטיקות הטעיה - False Flags
מאת: מערכת Telecom News, 6.10.16, 17:26false flag

דו"ח חושף עד כמה התקדמו שחקני האיום בשימוש ברמזים מטעים כדי להונות את הקורבנות ואת חוקרי האבטחה ולטשטש את מקור ההתקפה.

זהות הקבוצה, שעומדת מאחורי מתקפת סייבר ממוקדת, היא אחת השאלות המרכזיות, שכולם רוצים לענות עליה, למרות העובדה, שקשה, אם לא בלתי אפשרי, להצביע במדויק על הגורם היוזם. כדי להציג את המורכבות הגוברת וחוסר הוודאות, שבניסיון לבצע ייחוס של מתקפות במסגרת מודיעין האיומים, פרסמו בריאן ברת'ולומיו וחואן אנדרס גאוררו-סייד, חוקרי מעבדת קספרסקי, דו"ח, שחושף עד כמה התקדמו שחקני האיום בשימוש ברמזים מטעים כדי להונות את הקורבנות ואת חוקרי האבטחה.

להלן המאפיינים המרכזיים, שמשמשים את חוקרי האבטחה כדי לקבוע את מקור המתקפה, והסבר כיצד מספר שחקני איום בלתי מוכרים מבצעים בהם מניפולציות:

חותמות זמן - Timestamps
קבצי קוד זדוני מכילים חותמות זמן המתעדות את הזמן בו נסגרו הקבצים. אם נאספות מספיק דוגמיות כאלו,  ניתן לקבוע את שעות העבודה של המפתחים, והדבר יכול להצביע על אזור הזמן הכללי של הפעילות שלהם. עם זאת, חותמות זמן כאלו קל מאוד לשנות ולהשתיל חותמות זמן מזויפות.

סימני שפה
קבצי קוד זדוני כוללים מחרוזות וכתובות הפניה ל-Debug ואלה יכולים להסגיר פרטים לגבי כותבי הקוד. הרמז הברור ביותר הוא השפה או השפות, שהיו בשימוש ורמת הבקיאות בהן. בנוסף, כתובות הפניה של Debug יכולות לחשוף שמות משתמש וכן שיטות למתן שמות פנימיים של קמפיינים או פרויקטים. בנוסף, מסמכי פישינג עלולים לשאת מטה-דאטה, שיכול בטעות לשמור פרטים המצביעים על המחשב האמיתי של הכותב.

עם זאת, השחקנים בתחום יכולים לשנות בקלות סממני שפה כדי לבלבל את החוקרים. סממני שפה מטעים בקוד הזדוני של Cloud Atlas כוללים מחרוזות בערבית בגרסת הבלאקברי, סימנים בהודית בגרסת האנדרואיד ואת המילים johnClerk בכתובת ההפניה לפרויקט בגרסת ה- . iOS זאת, בעוד שרבים חושדים, שהקבוצה היא בכלל בעלת קשר למזרח אירופה. הקוד הזדוני, ששימש את השחקן Wild Neutron, כולל מחרוזות שפה גם ברומנית וגם ברוסית.

תשתית וקישורים לשרתי השליטה
מציאת שרתי הפיקוד והשליטה, שמשמשים את התוקפים, דומה למציאת כתובת הבית שלהם. תשתית פיקוד ושליטה יכולה להיות יקרה וקשה לתחזוקה. כך, שאפילו לתוקפים בעלי משאבים רבים יש נטייה לעשות שימוש חוזר בשרתי פיקוד ושליטה או בתשתית פישינג. קישוריות לשרתים האחוריים יכולה לספק פרטים לגבי התוקפים, במידה והם לא הצליחו לבצע אנונימיזציה לקישורי האינטרנט שלהם כאשר הם מחלצים מידע ממחשב נגוע או שרת דואר, או כאשר הם מכינים את הבמה לשרת פישינג או מבצעים כניסה לשרת פרוץ.
עם זאת, לעיתים "כשל" כזה הוא מכוון: תוקפי Cloud Atlas ניסו לבלבל את החוקרים באמצעות שימוש בכתובות IP, שמקורן בדרום קוריאה.

ערכות פריצה: קוד זדוני, קוד, סיסמאות, כלי פריצה
למרות שחלק מהשחקנים מסתמכים כעת על ערכות פריצה הזמינות לרכישה, רבים עדיין מעדיפים לבנות בעצמם את הדלתות האחוריות, כלים לתנועה רוחבית וכלי ניצול פרצות, והם שומרים עליהם בקנאות. לכן ההופעה של משפחה מסוימת של קוד זדוני יכולה לגרום לחוקרים להתביית על שחקן מסוים.

הגורם, שמאחורי ,Turla החליט לנצל את ההשערה הזו כאשר הוא מצא את עצמו מכותר בתוך מערכת נגועה. במקום למשוך את הקוד הזדוני שלו, הוא התקין קוד זדוני סיני נדיר, שיצר קשר עם תשתית הממוקמת בבייג'ין, תשתית, שאינה קשורה כלל ל- Turla. בעוד צוות התגובה של הקורבן רדף אחר קוד הפתיון הזדוני, Turla הסירו בשקט את הקוד הזדוני שלהם ומחקו כל זכר ממנו במערכות הקורבן.

קורבנות המטרה
זהות מטרות התקיפה יכולות לספק כיוון נוסף לגבי זהות התוקף, אבל יצירת קשר מדויק דורשת מיומנות גבוהה של ניתוח ופרשנות. במקרה של Wild Neutron, לדוגמא, רשימת הקורבנות הייתה כה מגוונת, שהיא רק הקשתה על ייחוס.

יותר מכך, חלק מגורמי האיום מנצלים את הרצון הרב של הציבור למצוא קשר ישיר בין התוקפים והמטרות שלהם כשהם פועלים במסווה של קבוצות האקטיביסטים. זה מה ש-Lazarus group ניסתה לעשות באמצעות הצגתה כ"מגני השלום" כאשר תקפה את סוני ב-2014. רבים מאמינים, ששחקן האיום הידוע כ-Sofacy השתמש בטקטיקה דומה, כשהוא מתחזה למספר קבוצות האקטיביסטים.

לסיום, אך לא פחות חשוב, לעיתים תוקפים ינסו להטיל את האשמה על שחקן אחר. גישה זו אומצה ע"י השחקן, שעדיין לא זוהה, TigerMilk, שחתם את הדלת האחורית, שיצר באמצעות אותה תעודה גנובה, ששימשה את סטוקסנט.

בריאן ברת'ולומיו: "ייחוס של התקפות ממוקדות לתוקף הוא דבר מורכב, לא אמין וסובייקטיבי, והשחקנים בתחום מגבירים את הטיפול במאפיינים, שהחוקרים מסתמכים עליהם, ובכך מטשטשים אף יותר את העקבות. אנו מאמינים, שלעיתים קרובות ייחוס מדויק הוא כמעט בלתי אפשרי. אך למודיעין איומים יש ערך עמוק ומדיד הרבה מעבר לשאלה 'מי עשה את זה?' קיים צורך להבין מי הם טורפי העל במערכת הגלובלית של הקוד הזדוני".

מידע נוסף אודות False Flags ניתן לקרוא - כאן.
 



 
 
Bookmark and Share


 


לוח מודעות
יזמים? יש לכם רעיון מבריק? נמשכת ההרשמה למחזור הבא של TLV Generator. ההרשמה - כאן

מחפשים הגנה מושלמת על הגלישה הניידת והנייחת ועל הפרטיות מפני כל תוקף? הפתרון הזול והטוב בעולם - כאן.

חנות המוצרים המובילה מסין -Chinabuy בעברית ובמחירי מבצע מטורפים

ניוזלטר שלישי של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

ניוזלטר שני של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

ניוזלטר ראשון של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

מחפש מחקרים? מאות מחקרים עדכניים מהשנה האחרונה מצויים כאן

מחפש תוכנות חופשיות? תוכל למצוא משחקים, תוכנות לפרטיים ותוכנות לעסקים, תוכנות לצילום ותמונות, הכל בחינם.


מעוניין לבנות ולתפעל אתר אישי או עסקי מקצועי? לחץ כאן.

לוח אירועים וכנסים של עולם ההיי-טק - כאן.
 




לוח האירועים המלא לגולשים מצוי כאן.

22.3.17 - GEMIC - TLV  

28/3/17 - Community Interfacing Technologies  

29/3/17 - Telco2017 - תערוכת מוקדים טלפוניים  

4/4/17 -  Israel AdTech 2017

18/5/17 - Israel's Annual Programmatic Video conference

25-29/6/17 - Cyber Week 2017  

 

הכי ניצפים 

דירוג הסמאטרפונים הטובים ביותר בעולם לפברואר 2017 עפ"י Business Insider - כאן

מה כן מקדם אתרים ועסקים באינטרנט? לא העלוקות שחיות סביב גוגל ופייסבוק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק א': בזק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק ג' - ההפסד הצרכני - כאן

כמה מפסידים בביצועים של הפס הרחב במעבר ל"שוק הסיטונאי"? - הרבה - כאן

מה שלא מספרים לכם: כיצד בזק תמרנה את מחירי השוק הסיטונאי עד 2018 - כאן

למה מבלבלים את המוח לציבור בנושא המכונה "שוק סיטונאי"? - כאן

למה בכלל צריך להחליף / לרכוש נתב במעבר ל"שוק סיטונאי"? - כאן

התרגיל לחיסול "השוק הסיטונאי" כבר כמעט מוכן, קוראים לו Vectoring - כאן

כל מי שכביכול "נטש את בזק" ב"שוק סיטונאי" יחזור לבזק תוך שנה-שנתיים - כאן

הפלופ הבא של "השוק הסיטונאי" שירות SLU (שבלעדיו הנוטשים יחזרו לבזק) - כאן

ביבי נתניהו הקשיב לקריאת Telecom News: פיטר לאלתר את אבי ברגר - כאן

חי בסרט: סמנכ"ל הכלכלה במש' התקשורת בטוח שהתכנית שחיבר תצא לפועל - כאן

מכרז התדרים ל-LTE הסתיים (בחלוקת תדרים) בדיוק כמו שהחל: בפלופ - כאן

חשיפת המספרים מאחורי משבר האנטנות: בשנה האחרונה פורקו 721 אנטנות - כאן

איך אני יודע כמה מגהרץ יש בחיבור LTE? מי ספק הסלולר המהיר בישראל? - כאן

חשיפת המחדל המדהים המוסתר מהציבור של הרס רשתות הסלולר - כאן

חשיפת מה שאילנה דיין לא פרסמה ב"ערוץ 2" על תעלולי השר משה כחלון - כאן

האם נטפליקס זקוקה לרישיון כדי לפעול, לשדר ולמכור שירותים בישראל? - כאן

איך רבע מיליון לקוחות נפלו בפח ועברו להסדר המכונה בטעות "שוק סיטונאי" - כאן

ההגנה המושלמת על הגלישה ניידת והנייחת ועל הפרטיות מפני כל תוקף - כאן

מבחן דרך: חיבור VPN - האם זו ההגנה המושלמת על הגלישה ועל הפרטיות? - כאן

TLV Generator נולד - התכנית שהופכת כל רעיון למוצר (MVP) תוך 120 יום - כאן

20 המובילים ומקבלי הצל"ש בשנת 2016 בעולם התקשורת וההייטק הישראלי - כאן
 
זרקור חברות
 
TLV-Generator
 
TLV-Generator
 
 
טלקום אקספרטס
 
NordVPN
 
עדן אימון עסקי
 
כמה זה? השוואת מחירים
 
TLV-Generator
 
ChinaBuy
 
טלי וייס
 
 
 
Slideshare Linkedin Twitter
Youtube Instagram Facebook
Google+ live Zappix
Bitly Vimeo Pinterest
אנדרואידאנדרואיד-ברקוד אפל ברקודאפל

 
 מפת הביטקוין   מהירות גלישה Your IP שירותנט
לייבסיטי - בניית אתרים