קב' Sofacy/Fancy Bear פולשת לאזורי פעולה של קבוצות ריגול סייבר אחרות

דף הבית >> חדשות אבטחה ועולם הסייבר >> קב' Sofacy/Fancy Bear פולשת לאזורי פעולה של קבוצות ריגול סייבר אחרות

קבוצת Sofacy/Fancy Bear פולשת לאזורי פעולה של קבוצות ריגול סייבר אחרות

מאת: מערכת Telecom News, 13.3.18, 16:19קספרסקי
 

קבוצת Sofacy/Fancy Bear משנה את המיקוד למטרות ביטחון ודיפלומטיה במזרח הרחוק ופולשת לאזורי פעולה של קבוצות ריגול סייבר אחרות. מה מראים הממצאים החדשים? מה מומלץ לארגונים לעשות?

 
חוקרי מעבדת קספרסקי זיהו, שגורם האיום דובר הרוסית Sofacy, שידוע גם כ-APT28 או Fancy Bear, משנה מיקוד למזרח הרחוק ומגלה עניין מיוחד במטרות של ארגוני צבא, ביטחון ודיפלומטיה, לצד המטרות המסורתיות של הקבוצה הקשורות בנאט"ו.
 
החוקרים חשפו, שפעילות Sofacy חופפת לעיתים לשחקני איום אחרים, כולל קבוצות Turla דוברת הרוסית ו-Danti דוברת הסינית. הממצא המעניין ביותר הוא דלת אחורית של Sofacy, שנמצאה על שרת, שכבר נפרץ בעבר ע"י גורם האיום דובר האנגלית Lamberts. השרת שייך לקונגלומרט צבא ותעופה בסין.
 
Sofacy היא קבוצת ריגול פעילה ורחבה מאוד, שחוקרי החברה עוקבים אחריה כבר מספר שנים. בפברואר, פרסמה החברה סקירה של פעילות Sofacy ב-2017, שהציגה מעבר הדרגתי של הקבוצה ממיקוד במטרות הקשורות בנאט"ו לעבר מטרות במזה"ת, מרכז אסיה ואף מזרחה מכך. Sofacy משתמשת בהתקפות פישינג ממוקד ולעיתים ב"בורות השקיה" כדי לגנוב נתונים, כולל הרשאות לחשבונות, תקשורת רגישה ומסמכים. היא גם חשודה בשתילת מטענים הרסניים אצל מטרות שונות.
 
הממצאים החדשים מראים, ש-Sofacy היא לא התוקף היחיד הפעיל באזורים אלה, ולעיתים הדבר מוביל למטרות חופפות בין שחקני האיום השונים. במקרה של Sofacy, החוקרים גילו מקרים בהם הקוד הזדוני שלה, Zebrocy, התחרה על גישה לקורבן למול ה-Mosquito Turla דובר הרוסית, ובמקרה אחר, הדלת האחורית שלה, SPLM, עמדה בתחרות מול התקפות מסורתיות מצד Turla ו-Danti דוברת הסינית. המטרות המשותפות כוללות ארגונים ממשלתיים וגופי טכנולוגיה, מדע וצבא ממרכז אסיה.
 
במקרים מסוימים נראה, שהמטרות ספגו במקביל התקפות נפרדות מצד SPLM ו- Zebrocy. אך החפיפה המעניינת ביותר נרשמה בין Sofacy וגורם האיום דובר האנגלית העומד מאחורי Lamberts. החיבור התגלה לאחר שהחוקרים זיהו נוכחות של Sofacy על שרת, שמודיעין האיומים כבר זיהה בעבר ככזה, שנפרץ ע"י הקוד הזדוני Grey Lambert. השרת שייך לקונגלומרט סיני המתכנן ומייצר טכנולוגיות תעופה והגנה אווירית.
 
עם זאת, בדוגמה זו, אפיק החדירה המקורי של SPLM נותר בלתי ידוע. הדבר מעלה מספר השערות, כולל האפשרות, ש-Sofacy משתמשת בפרצה חדשה ועדיין לא מוכרת או בסוג של דלת אחורית חדשה, או ש- Sofacy הצליחה איכשהו לרתום את ערוצי התקשורת של Grey Lambert כדי לבצע הורדה של הקוד הזדוני שלה.
 
המשמעות יכולה להיות אפילו שסממני הפריצה של Sofacy עלולים להיות הטעיה, שהושתלה ע"י Lambert. החוקרים מאמינים, שהתשובה הסבירה ביותר היא, שסקריפט PowerShell חדש ובלתי מוכר, או אפליקציה לגיטימית המכילה פרצה, הם אלה שאפשרו הורדה והפעלה של קוד SPLM. המחקר נמשך.
 
חוקרים גילו גם, ש-Sofacy שומרת על חלוקה ברורה בין כל אחד מהכלים המרכזיים שלה. כתיבת הקוד, הפיתוח והתקיפה מחולקים למחלקות של SPLM (המוכר גם כ-CHOPSTICK או Xagent), GAMEFISH ו-Zebrocy. SPLM נחשב ככלי המרכזי לשלב שני של מתקפות, בעוד Zebrocy משמש להתקפות בהיקפים גדולים. עפ"י החוקרים, בתחילת 2018, Sofacy תקף ארגונים מסחריים של הגנה אווירית בסין באמצעות SPLM, בעוד הקבוצה הפעילה את Zebrocy באופן נרחב יותר בארמניה, טורקיה, קזחסטן, טג'יקיסטן, אפגניסטן, מונגוליה, סין ויפן. 
.
עבור ארגונים עם פעילות צבאית, בטחונית או בעלי קשרי חוץ באזורים המדוברים, מומלץ על הטמעת האמצעים הבאים כדי לסכל התקפות ממוקדות מתקדמות:
 
שימוש בפתרון אבטחה ברמה ארגונית, בשילוב טכנולוגיות להגנה כנגד התקפות ממוקדות ומודיעין איומים. פתרון כזה מסוגל לזהות וללכוד התקפות ממוקדות מתקדמות באמצעות ניתוח של חריגות ברשת, ומתן שקיפות מלאה לצוותי אבטחת הסייבר לגבי הפעילות ברשת ויכולת תגובה אוטומטית.
 
מתן גישה לצוותי אבטחה למודיעין האיומים העדכני ביותר, שיחמש אותם בכלים יעילים למחקר ומניעה של התקפות ממוקדות, כגון סממני פריצה (IOC), חוקי YARA ודו"חות איום מתקדמים ומותאמים אישית.
 
אם מזהים סממנים מוקדמים להתקפה ממוקדת, מומלץ להשתמש בשירותי הגנה מנוהלים, שיאפשרו לזהות באופן פרואקטיבי איומים מתקדמים ולקצר זמני תגובה.
 
קורט באומגרטנר, חוקר אבטחה ראשי, מעבדת קספרסקי: "Sofacy נחשבת לעיתים לפרועה וחסרת מעצורים, אבל מנקודת המבט שלנו, הקבוצה יכולה להיות פרגמטית, זהירה וגמישה. הפעילות שלה במזרח לא זכתה לדיווח מספיק, אבל ברור, שהיא לא גורם האיום היחיד המתעניין באזור או אפילו במטרות מסוימות.
 
כשאופק האיומים הופך לצפוף ומורכב יותר, אנו עלולים להיתקל בדוגמאות נוספות למטרות חופפות, והדבר עלול להסביר מדוע גורמי איום רבים מבצעים סריקה של מערכות הקורבנות לגילוי פולשים אחרים לפני שהם מפעילים את המתקפות שלהם".
 
מידע נוסף -  כאן.
 
 
 
NORDVPN



 
 
Bookmark and Share


 


לוח מודעות
יזמים? יש לכם רעיון מבריק? נמשכת ההרשמה למחזור הבא של TLV Generator. ההרשמה - כאן

מחפשים הגנה מושלמת על הגלישה הניידת והנייחת ועל הפרטיות מפני כל תוקף? הפתרון הזול והטוב בעולם - כאן.

לוח אירועים וכנסים של עולם ההיי-טק - כאן.

מחפש מחקרים? מאות מחקרים עדכניים מהשנה האחרונה מצויים כאן

מחפש תוכנות חופשיות? תוכל למצוא משחקיםתוכנות לפרטיים ותוכנות לעסקיםתוכנות לצילום ותמונות, הכל בחינם.


מעוניין לבנות ולתפעל אתר אישי או עסקי מקצועי? לחץ כאן.


 




לוח האירועים המלא לגולשים מצוי כאן.

18/10/08 - SIPI 2018 

29-30/10/18 - Smart Mobility Summit 2018 

11-18/11/18 - Gloab Entrepreneurship Week IL  

12/11/18 - Red Hat Forum Israel 2018 

25-29/11/18 - Oracle Week 2018  

9-12/12/18- Healthcare Technological INNOVATION Program 

13/12/18 - Video Trends for 2019 TLV  

7/3/19 - 2019 OurCrowd Global Investor Summit 

 

הכי ניצפים 

דירוג הסמאטרפונים הטובים ביותר בעולם לאוגוסט 2018 עפ"י Business Insider - כאן

תאגיד השידור - "עלינו". איך עשו עלינו סיבוב והשאירו את אגרת הטלוויזיה - כאן

מה כן מקדם אתרים ועסקים באינטרנט? לא העלוקות שחיות סביב גוגל ופייסבוק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק א': בזק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק ג' - ההפסד הצרכני - כאן

כמה מפסידים בביצועים של הפס הרחב במעבר ל"שוק הסיטונאי"? - הרבה - כאן

למה מבלבלים את המוח לציבור בנושא המכונה "שוק סיטונאי"? - כאן

למה בכלל צריך להחליף / לרכוש נתב במעבר ל"שוק סיטונאי"? - כאן

איך אני יודע כמה מגהרץ יש בחיבור LTE? מי ספק הסלולר המהיר בישראל? - כאן

חשיפת המחדל המדהים המוסתר מהציבור של הרס רשתות הסלולר - כאן

חשיפת מה שאילנה דיין לא פרסמה ב"ערוץ 2" על תעלולי השר משה כחלון - כאן

איך רבע מיליון לקוחות נפלו בפח ועברו להסדר המכונה בטעות "שוק סיטונאי" - כאן

ההגנה המושלמת על הגלישה ניידת והנייחת ועל הפרטיות מפני כל תוקף - כאן

מבחן דרך: חיבור VPN - האם זו ההגנה המושלמת על הגלישה ועל הפרטיות? - כאן

TLV Generator נולד - התכנית שהופכת כל רעיון למוצר (MVP) תוך 120 יום - כאן

למה 95% מהסטארטאפים בישראל נכשלו, נכשלים וימשיכו להיכשל גם בעתיד - כאן

מה חלקו ואחריותו של ה-CTO למצב בו 95% מהסטארטאפים בישראל נכשלים? - כאן

האם ניתן לרפא את המחלה של כישלון מעל ל-95% מהמיזמים בישראל? - כאן

העסקה הבעייתית של בזק-Yes לא הייתה מתבצעת בלי משרד התקשורת - כאן

המשך חשיפת הבלוף ששמו "מהפיכת הסלולר" ואיך מסרסים את הנתונים לציבור - כאן

כל מה שלא מספרים לכם בנוגע לחקירת "פרשת בזק-YES" ולמה ביבי לא בעניין - כאן

סיכום ביקור בסיליקון ואלי - למה 3 הגדולות משקיעות ומפתחות באותם תחומים - כאן

מורה נבוכים בפרשת "תיק 4000" מי עוד צפוי להיחקר ומה עדיין לא נחקר - כאן

שלמה פילבר (עד לאחרונה מנכ"ל משרד התקשורת) - עד מדינה? הצחקתם אותי! - כאן

20 המובילים ומקבלי הצל"ש בשנת 2017 בעולם התקשורת והייטק הישראלי - כאן

"יש אפליה בחקירה"? חשיפה: למה השר משה כחלון לא נחקר עד היום? - כאן

חשיפת חשד לשחיתות הדומה לזו של "תיק 4000" אך בתחום הסלולר - כאן

חשיפת ההונאה הגדולה שהובילה לכך שמוצרי התקשורת יקרים יותר בישראל - כאן

בלעדי לקוראי האתר: 1 ש"ח ליום שיחות וגלישה ללא הגבלה בחו"ל... - כאן

חשיפת מה שלא רוצים  שתדעו בעניין פריסת אנלימיטד (בניחוח בלתי נסבל) - כאן

צעירי קליפורניה "עפים על עצמם" עם ה-e-Scooter קורקינט בשם Bird (ציפור) - כאן

השוק הקווי לקראת דעיכה ויצירת מונופול חדש (סלקום) על חורבות בזק והוט - כאן

חשיפה: האם ניתן לחבר ממיר כבלים פרטי על רשת הוט? - כאן


 
זרקור חברות
 
TLV-GENERATOR
 
TLV-Generator
 
קפל
 
טלקום אקספרטס
 
NordVPN
 
עדן אימון עסקי
 
כמה זה? השוואת מחירים
 
Pixabay
 
TLV-GENERATOR
 
טלי וייס
 
 
Slideshare Linkedin Twitter
Youtube Instagram Facebook
Google+ live Zappix
Bitly Vimeo Pinterest
אנדרואידאנדרואיד-ברקוד אפל ברקודאפל

 
 מפת הביטקוין   מהירות גלישה Your IP שירותנט
לייבסיטי - בניית אתרים