נחשף Duqu 2.0-נוזקה שהדבקותיה קשורות למתחמי שיחות הגרעין עם איראן

דף הבית >> חדשות אבטחה ועולם הסייבר >> נחשף Duqu 2.0-נוזקה שהדבקותיה קשורות למתחמי שיחות הגרעין עם איראן
נחשףDuqu 2.0  - פלטפורמה זדונית שהדבקותיה קשורות למתחמי שיחות הגרעין עם איראן
 מאת: מערכת Telecom News, 10.6.15, 16:55

עדכון מ-22.9.15 בתחתית הכתבה.מתקפת סייבר
 
הדבקות הנוזקה המתוחכמת, שמנצלת עד 3 פרצות יום אפס, נעשו כנראה בחסות מדינה וקשורות לאירועים בהם מתקיימים פגישות הדרג הגבוה ביותר של מנהיגי העולם. במתקפה נכללו מאפיינים מיוחדים, שלא נראו מעולם ושכמעט לא השאירו עקבות. הפילוסופיה ודרך החשיבה של קבוצת דוקו 2.0 הן דור אחד קדימה מכל מה שנראה עד כה בעולם ה-APT וריגול הסייבר.
 
בתחילת אביב 2015 גילתה מעבדת קספרסקי פריצות סייבר, שהשפיעו על כמה מהמערכות הפנימיות שלה. בעקבות הגילוי, פתחה החברה בחקירה מקיפה, שהביאה לגילויה של פלטפורמה זדונית חדשה של אחד האיומים המשפיעים, החזקים והמסתוריים בעולם ה-APT וריגול הסייבר, ושמו: Duqu.

במעבדת קספרסקי מאמינים, שהפורצים היו בטוחים, שבלתי אפשרי לגלות את מתקפת הסייבר שלהם. במתקפה נכללו מאפיינים מיוחדים, שלא נראו מעולם ואשר כמעט שלא השאירו עקבות. המתקפה ניצלה פרצות יום אפס, ולאחר שהסירה הרשאות לניהול דומיין, הקוד הזדוני התפשט ברשת דרך קבצי ה-MSI - Microsoft Software Installer, שבהם משתמשים מנהלי הרשת כדי להתקין תוכנה במחשבי Windows מרוחקים. המתקפה לא השאירה מאחוריה שום קבצים בדיסק ולא שינתה הגדרות מערכת, והדבר גרם לגילוי להיות קשה במיוחד. הפילוסופיה ודרך החשיבה של קבוצת דוקו 2.0 הן דור אחד קדימה מכל מה שנראה עד כה בעולם ה-APT.

החוקרים גילו, שהחברה לא הייתה המטרה היחידה של איום הסייבר הזה. קורבנות נוספים התגלו  במדינות מערביות נוספות, במדינות במזרח התיכון וגם באסיה. יש לציין, שחלק מהמתקפות החדשות של 2014-2015 קשורות לאירועי ומתחמי המשא ומתן עם איראן בנושא הגרעין (P5+1). גורם האיום מאחורי דוקו שיגר מתקפות על אתרי השיחות והפגישות בהם התקיימו שיחות ברמה המדינית הגבוהה. בנוסף לארועי 5+1P קבוצת דוקו 2.0 פתחה במתקפות דומה כנגד הארוע לזכר 70 שנה לשחרור אושוויץ-בירקנאו. בפגישות אלה נכחו דיפלומטים ופוליטיקאים מכל העולם.

החוקרים ביצעו בקרת אבטחה ראשונית וניתוח של המתקפה. הבקרה כללה אימות קוד מקור ובדיקה של תשתית החברה. הביקורת עדיין נמשכת ותושלם בעוד מספר שבועות. מעבר לגניבה של נכסים בלתי מוחשיים, אין סימן נוסף לפעילות זדונית. הניתוח חשף, שהיעד המרכזי של התוקפים היה לרגל אחר טכנולוגיות מעבדת קספרסקי, המחקר המתמשך ותהליכים פנימיים. לא נרשמה הפרעה לתהליכים או מערכות.

מעבדת קספרסקי בטוחה, שהלקוחות והשותפים שלה מוגנים ואין השפעה על מוצרים, טכנולוגיות ושירותי החברה.

סקירת המתקפה
מוקדם יותר בשנת 2015, במהלך מבחן שבוצע, אב טיפוס של פתרון נגד מתקפות ,APT שפותח ע"י מעבדת קספרסקי, הראה סימנים של מתקפה ממוקדת מורכבת על תשתית הרשת הארגונית. לאחר שההתקפה נחשפה החלה חקירה פנימית. צוות של חוקרי החברה, מומחי reverse engineering ואנליסטים של קוד זדוני, עבדו מסביב לשעון כדי לנתח את המתקפה יוצאת הדופן. החברה פרסמה פרטים טכניים אודות Duqu 2.0כאן.
 
מסקנות ראשוניות:
1. המתקפה תוכננה בזהירות והוצאה לפועל ע"י אותה קבוצה, שעמדה מאחורי מתקפת ה-Duqu ב-2011. מעבדת קספרסקי מאמינה, שמדובר בקמפיין בחסות מדינה.
2. מעבדת קפסרסקי מאמינה, שהיעד המרכזי של המתקפה היה לאסוף מידע אודות הטכנולוגיות החדשות ביותר של החברה. התוקפים היו מעוניינים במיוחד בפרטים אודות חדשנות במוצרים, כולל מערכת ההפעלה המאובטחת של מעבדת קספרסקי, מניעת הונאות של קספרסקי, ופתרונות ושירותי אבטחת רשת ונגד הונאות. מחלקות, שאינן קשורות למחקר ופיתוח (מכירות, שיווק, תקשורת, משפטים), נותרו מחוץ למוקד העניין של התוקפים.
3. המידע, שנאסף ע"י התוקפים, בשום אופן אינו חיוני לפעילות מוצרי החברה. כשהיא חמושה במידע אודות המתקפה, מעבדת קספרסקי תמשיך לשפר את הביצועים של מערך פתרונות אבטחת ה-IT שלה.
4. התוקפים גם הראו עניין רב בחקירות הנוכחיות, שמקיימת מעבדת קפסרסקי לגבי מתקפות מתקדמות ממוקדות. סביר להניח, שהם מודעים היטב למוניטין של החברה כאחת מהמתקדמות ביותר בזיהוי ולחימה במתקפות APT מורכבות.
5. נראה, שהתוקפים ניצלו עד ל-3 פרצות יום אפס. הפרצה האחרונה (CVE-2015-2360) נסגרה ע"י מיקרוסופט ב-9.6.15 (MS15-061), לאחר שמומחי קספרסקי דיווחו לגביה.
תוכנת הקוד הזדוני השתמשה בשיטה מתקדמת כדי להסתיר את נוכחותה במערכת: הקוד של Duqu 2.0 קיים רק בזיכרון המחשב ומנסה למחוק כל זכר ממנו בדיסק הקשיח.

התמונה הגדולה
קוסטין ראיו, מנהל צוות המחקר והניתוח הבינלאומי של מעבדת קספרסקי: "האנשים מאחורי Duqu הם מהמוכשרים והעוצמתיים ביותר מבין קבוצות ה- APT, והם עשו כל דבר אפשרי כדי להישאר מתחת למכ"מ. מתקפה מתוחכמת ביותר זו השתמשה בעד ל-3 פרצות יום אפס, שזה  מרשים ביותר - העלויות היו כנראה מאוד גבוהות. כדי להישאר מוסתר, הקוד הזדוני נשמר רק בזיכרון הקרנל, כך שלפתרונות אנטי קוד זדוני יש בעיה לזהות אותו. הוא גם לא מתחבר ישירות לשרתי פיקוד ושליטה כדי לקבל הוראות. במקום זאת, התוקפים מדביקים את שערי הגישה והפיירוול באמצעות התקנת דרייברים זדוניים, אשר מבצעים פרוקסי של כל התעבורה מהרשת הפנימית אל שרתי הפיקוד והשליטה של התוקפים".

יוג'ין קספרסקי, מנכ"ל מעבדת קספרסק: "ריגול אחר חברות אבטחת סייבר היא מגמה מסוכנת מאוד. תוכנת אבטחה היא הקו האחרון של הגנה עבור עסקים ולקוחות בעולם המודרני, והדבר מעמיד ציוד חומרה ורשת בסיכון. יותר מכך, במוקדם או במאוחר, טכנולוגיות, שהוטמעו במתקפות ממוקדות דומות, תיבחנה ותשמשנה טרוריסטים ועבריינים מקצועיים. זהו תרחיש רציני ביותר ואפשר.

דיווח על אירועים כאלה הוא הדרך היחידה להפוך את העולם למאובטח יותר. הדבר מסייע לשפר את תכנון האבטחה של תשתיות ארגוניות ושולח מסר ברור למפתחים של הקוד הזדוני: כל הפעילות הבלתי חוקית תיעצר והאחראים יועמדו לדין. הדרך היחידה להגן על העולם היא, שרשויות החוק וחברות אבטחה תילחמנה במתקפות בצורה פתוחה. אנו תמיד נדווח על מתקפות ללא קשר למקור שלהן".

החברה בטוחה, שהצעדים שננקטו טיפלו באירוע זה ויסייעו למנוע בעיות דומות מלחזור על עצמן. היא יצרה קשר עם מחלקות סייבר בגופי אכיפת החוק במדינות שונות עם בקשה רשמית לחקירה פלילית של המתקפה".

החברה מדגישה, שאלו הן רק תוצאות ראשוניות של החקירה. אין ספק, שהתקפה זו היא רחבה בהרבה מבחינה גיאוגרפית ומקיפה הרבה יותר מטרות. אבל, עפ"י מה שהחברה כבר יודעת, Duqu 2.0 שימש כדי לתקוף טווח מורכב של מטרות ברמות הגבוהות ביותר עם תחומי עניין גיאופוליטיים דומים. כדי למזער את האיום.
 
תהליכים להגנה מפני Duqu 2.0 הוספו למוצרי החברה. מעבדת קספרסקי מזהה איום זה כ: HEUR:Trojan.Win32.Duqu2.gen

הדו"ח המלא -  כאן.

הערה: העיתון וול סטריט ג'ורנל חושד, שהדוקו 2.0 נוצר בישראל ונועד לצורך מעקב אחר שיחות הגרעין של איראן עם המעצמות במלונות באירופה.

עדכון 22.9.15:ה-Independent הבריטי מצטט אתר חדשות בשווייץ הטוען, שלאחר הגילויים הנ"ל של מעבדות קספרסקי, נפתחה חקירה בשוויץ, והחוקרים מומחי סייבר בשוויץ הגיעו למסקנה, ששירותי הביטחון של ישראל עמדו מאחורי פרצת האבטחה בעת שיחות הגרעין בין איראן והמעצמות בבתי מלון באוסטריה ובשווייץ כמו במלון President Wilson בג'נבה, ושהעלות הייתה 50 מיליון דולרים:
 
Swiss investigators had discovered that the cyber attackers had infiltrated surveillance cameras at top hotels used for the Iran talks in Switzerland and Austria using a highly sophisticated $50m Trojan programme, which had almost certainly been developed by the Israeli secret service
 
נטען גם, שתכנון משימת הפשיטה על המלון President Wilson בג'נבה היה מסובך בגלל שחלק מצוות האבטחה שם עבד קודם לכן עבור שירותי הביטחון הישראלי:
 
police cyber crime experts raided President Wilson hotel. Preparing the raid had been a difficult operation because several of the hotel’s own security staff had previously worked for the Israeli secret services

בנוסף, בתוכנת המחשב, שהוחרמה בבית המלון, נמצאה הדבקה ב-Duqu 2.0:
 
Material confiscated from the hotel included software which showed that its computer system had been infiltrated by a sophisticated surveillance programme known as Duqu 2, similar to the Duqu Trojan once known to have been used by Israeli intelligence

The cyber attackers had used the Trojan to gain access to the hotel’s surveillance cameras and microphone systems. It said the Trojan was also used to infiltrate the same systems at the Beau Rivage Palace Hotel in Lausanne which was also used for Iran nuclear talks in the summer

 
עם זאת, יהיה קשה לרשויות להגיש כתב אישום נגד ישראל ע"ס החשדות שלהן ובאינדפנדט טוענים, שלא ניתן היה לקבל את תגובת שגרירות ישראל בשווייץ.

מתקפת סייבר



 
 
Bookmark and Share


 


לוח מודעות
יזמים? יש לכם רעיון מבריק? נפתחה ההרשמה למחזור הראשון של TLV Generator. ההרשמה - כאן

חנות המוצרים המובילה מסין -Chinabuy בעברית ובמחירי מבצע מטורפים

ניוזלטר שלישי של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

ניוזלטר שני של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

ניוזלטר ראשון של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

מחפש מחקרים? מאות מחקרים עדכניים מהשנה האחרונה מצויים כאן

מחפש תוכנות חופשיות? תוכל למצוא משחקים, תוכנות לפרטיים ותוכנות לעסקים, תוכנות לצילום ותמונות, הכל בחינם.


מעוניין לבנות ולתפעל אתר אישי או עסקי מקצועי? לחץ כאן.

לוח אירועים וכנסים של עולם ההיי-טק - כאן.
 




לוח האירועים המלא לגולשים מצוי כאן.

24-25/1/17 - יריד חדשנות אורבנית של השלטון המקומי

15-16.2.17 - GLOBAL INVESTOR SUMMIT OurCrowd    

6-7.3.17 - BrainTech 2017 

22.3.17 - GEMIC - TLV

29/3/17 - Telco2017 - תערוכת מוקדים טלפוניים  

25-29/6/17 - Cyber Week 2017  

 

הכי ניצפים 

דירוג הסמאטרפונים הטובים ביותר בעולם לדצמבר 2016 עפ"י Business Insider - כאן

מה כן מקדם אתרים ועסקים באינטרנט? לא העלוקות שחיות סביב גוגל ופייסבוק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק א': בזק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק ג' - ההפסד הצרכני - כאן

כמה מפסידים בביצועים של הפס הרחב במעבר ל"שוק הסיטונאי"? - הרבה - כאן

מה שלא מספרים לכם: כיצד בזק תמרנה את מחירי השוק הסיטונאי עד 2018 - כאן

למה מבלבלים את המוח לציבור בנושא המכונה "שוק סיטונאי"? - כאן

למה בכלל צריך להחליף / לרכוש נתב במעבר ל"שוק סיטונאי"? - כאן

התרגיל לחיסול "השוק הסיטונאי" כבר כמעט מוכן, קוראים לו Vectoring - כאן

כל מי שכביכול "נטש את בזק" ב"שוק סיטונאי" יחזור לבזק תוך שנה-שנתיים - כאן

הפלופ הבא של "השוק הסיטונאי" שירות SLU (שבלעדיו הנוטשים יחזרו לבזק) - כאן

ביבי נתניהו הקשיב לקריאת Telecom News: פיטר לאלתר את אבי ברגר - כאן

חי בסרט: סמנכ"ל הכלכלה במש' התקשורת בטוח שהתכנית שחיבר תצא לפועל - כאן

מכרז התדרים ל-LTE הסתיים (בחלוקת תדרים) בדיוק כמו שהחל: בפלופ - כאן

חשיפת המספרים מאחורי משבר האנטנות: בשנה האחרונה פורקו 721 אנטנות - כאן

איך אני יודע כמה מגהרץ יש בחיבור LTE? מי ספק הסלולר המהיר בישראל? - כאן

חשיפת המחדל המדהים המוסתר מהציבור של הרס רשתות הסלולר - כאן

חשיפת מה שאילנה דיין לא פרסמה ב"ערוץ 2" על תעלולי השר משה כחלון - כאן

20 המובילים ומקבלי הצל"ש בשנת 2015 בעולם התקשורת וההייטק הישראלי - כאן

האם נטפליקס זקוקה לרישיון כדי לפעול, לשדר ולמכור שירותים בישראל? - כאן

איך רבע מיליון לקוחות נפלו בפח ועברו להסדר המכונה בטעות "שוק סיטונאי" - כאן

ההגנה המושלמת על הגלישה ניידת והנייחת ועל הפרטיות מפני כל תוקף - כאן

מבחן דרך: חיבור VPN - האם זו ההגנה המושלמת על הגלישה ועל הפרטיות? - כאן

איגוד האינטרנט התקין מערכת המסכנת את חברות האינטרנט וגולשי האינטרנט - כאן

TLV Generator נולד - התכנית שהופכת כל רעיון למוצר (MVP) תוך 120 יום - כאן

20 המובילים ומקבלי הצל"ש בשנת 2016 בעולם התקשורת וההייטק הישראלי - כאן
 
זרקור חברות
 
MediaVenus
 
TLV-Generator
 
 
Telecom Experts
 
NordVPN
 
עדן אימון עסקי
 
כמה זה? השוואת מחירים
 
TLV-Generator
 
ChinaBuy
 
טלי וייס
 
 
 
Slideshare Linkedin Twitter
Youtube Instagram Facebook
Google+ live Zappix
Bitly Vimeo Pinterest
אנדרואידאנדרואיד-ברקוד אפל ברקודאפל

 
 מפת הביטקוין   מהירות גלישה Your IP שירותנט
לייבסיטי - בניית אתרים