Telecom News - קבוצת סייבר הצליחה להחדיר נוזקות לחברות עסקיות וגופים ציבוריים בישראל

קבוצת סייבר הצליחה להחדיר נוזקות לחברות עסקיות וגופים ציבוריים בישראל

דף הבית >> חדשות אבטחה ועולם הסייבר >> קבוצת סייבר הצליחה להחדיר נוזקות לחברות עסקיות וגופים ציבוריים בישראל
קבוצת סייבר הצליחה להחדיר נוזקות לחברות עסקיות וגופים ציבוריים בישראל
מאת: מערכת Telecom News , 25.3.15, 12:13התקפה

הקבוצה, שמכונה Rocket Kitten, פעלה ב-2 מתקפות בדפוס פעולה של שליחת מייל פישינג המותאם לפרופיל הקרבן במטרה. יתכן ומאחוריה עמדו בעלי אינטרס איראניים.

חברת אבטחת המידע טרנד מיקרו (Trend Micro) חשפה קבוצת סייבר, שתקפה גורמים עסקיים, מוסדות אקדמיים וגופים ציבוריים בישראל וכן מספר יעדים בגרמניה.

מהדו"ח, שמפרסמת החברה עולה, שבוצעו 2 גלי מתקפות זו אחר זו. הראשונה, שמכונה GHOLE על שם הנוזקה, ששימשה את התוקפים, נקטה באמצעי פישינג פשוטים יחסית, שמבוססים על אמצעי ,Social Engineering כדי להתאים לפרופיל הקורבן ולפתות אותו לפתוח קובץ Office של מיקרוסופט במייל. לאחר פתיחת הקובץ, הנוזקה חודרת אל מערכות המחשוב הארגוניות לשלוט עליהם מרחוק. מתקפות אלו החלו כבר בשנת 2011.

הגל השני, שמכונה "Woolen-Goldfish", כבר מצביע על מגמת התקדמות משמעותית מבחינת היכולות הטקטיות והטכנולוגיות של הקבוצה. דפוס הפעולה, שזוהה במהלך פברואר 2015, עשה שימוש בגניבת פרופילים מוכרים בישראל ושימוש בהם כאמצעי פיתוי. גם אופן ההדבקה השתפר לעומת גל המתקפה הראשון. מייל הפישינג, שנשלח לקורבנות, הכיל לינק, שלחיצה עליו הובילה לשירות אחסון אינטרנטי חינמי של מיקרוסופט, OneDrive. הקובץ המאוחסן הכיל קובץ ארכיון, שנראה כמו קובץ פאוור פוינט, שכלל כותרת בעלת אופי בעל עניין (למשל "תוכנית הטילים האיראנית"). לאחר ההקלקה, הוחדרה למחשב נוזקה מסוג חדש, TSPY_WOOLERG.A, שפותחה ע"י אותם גורמי הסייבר.

הכותבים מציינים בדו"ח, שאמנם הפעילות של הקמפיין מאופיינת ברמה מקצועית נמוכה יחסית לזו המוכרת כיום בשוק הסייבר, אך בהחלט ניכרת מגמת שיפור ביכולות. דואר הפישינג שננקט הולך ונעשה אגרסיבי יותר ואינו דורש את האינטראקציה עם הקורבן כדי להחדיר את הנוזקה.

החוקרים מציינים, שתקיפת Woolen-Goldfish הצליחה לחדור בהצלחה למספר חברות וארגונים בישראל ואירופה ונראה כי נוהלי אבטחה לקויים הובילו לכך, שקורבנות התקיפה נפלו בפח ואפשרו את הצלחת המתקפה.

עפ"י הממצאים שנאספו והיעדים שנבחרו לתקיפה, מעריכים החוקרים בזהירות, שיתכן והיו בעלי אינטרס איראניים, שהיו מעורבים בתקיפות.  

תמיר סגל, מנכ"ל טרנד מיקרו ישראל: "מערכות הניטור והמעקב של טרנד מיקרו מזהות גידול משמעותי בהיקף הניסיונות של גורמים שונים לפגוע בגופים ממשלתיים וביעדים עסקיים שונים בישראל במטרה לשנות את זירת המאבק למרחב הקיברנטי. המשמעות היא, שארגונים חייבים לנקוט אמצעים מתקדמים יותר בעלי יכולות ודפוסי פעולה שונים המסוגלים לנטר ניסיונות מעקב ואיסוף מידע".

הדו"ח המלא – כאן.

דוגמא לקובץ המייל שנשלח:
קובץ שנשלח
הקובץ שנשלח

תרשים השוואה בין דפוסי הפעולה של המתקפות:
תרשים השוואה
 



 
 
Bookmark and Share