Telecom News - נחשף Grabit: קמפיין ריגול סייבר הממוקד בעסקים שפגע גם בעסקים בישראל

נחשף Grabit: קמפיין ריגול סייבר הממוקד בעסקים שפגע גם בעסקים בישראל

דף הבית >> חדשות אבטחה ועולם הסייבר >> נחשף Grabit: קמפיין ריגול סייבר הממוקד בעסקים שפגע גם בעסקים בישראל

נחשף  Grabit: קמפיין ריגול סייבר הממוקד בעסקים קטנים/בינוניים שפגע גם בישראל

מאת: מערכת Telecom News, 28.5.15, 14:54הגנת סייבר

Grabit מראה, שלא מדובר רק במשחק של 'דגים גדולים'. בעולם הסייבר כל עסק בודד הוא בעל פוטנציאל להוות גורם עניין עבור גוף זדוני כזה או אחר. מובאות המלצות להתגוננות מפני Grabit.
 
מעבדת קספרסקי חשפה קמפיין ריגול סייבר חדש, שממוקד בעסקים, בשם Grabit, שהצליח לגנוב כ-10,000 קבצים מעסקים קטנים ובינוניים. בין הנפגעים גם עסקים מישראל. רשימת  המגזרים העסקיים, שנפגעו, כוללת מדיה, ננו טכנולוגיה, חינוך, חקלאות, כימיקלים בינוי ועוד. רשימת המדינות הנפגעות כוללת חוץ מישראל גם את תאילנד, הודו, ארה"ב, איחוד האמירויות, גרמניה, קנדה, צרפת, אוסטריה, סרי לנקה, צ'ילה ובלגיה. ׁ(ראו גרף בתחתית הכתבה. ישראל מוצגת בצבע צהוב).

הדבקות בקוד הזדוני מתחילות כאשר משתמש בעסק מקבל הודעת דואר עם קובץ מצורף, שנראה כמו קובץ של מיקרוסופט וורד (.doc). כאשר המשתמש מקליק כדי להוריד אותו, תוכנת הריגול מועברת למכונה משרת מרוחק, שנפרץ ע"י הקבוצה כדי שישמש כנקודת ממסר. התוקפים שולטים בקורבנות שלהם באמצעות HawkEye Keylogger, כלי ריגול מסחרי של HawkEyeProducts, ומודול הגדרות המכיל מספר כלי ניהול מרחוק (RATs).

כדי להמחיש את היקף הפעילות, מעבדת קספרסקי יכולה לחשוף, שקילוגר, שנמצא רק באחד משרתי הפיקוד והשליטה, הצליח לגנוב 2,887 סיסמאות, 1,053 הודעות דואר אלקטרוני ו-3,023 שמות משתמש פנימיים וחיצוניים, מתוך 4,928 מקורות שונים מאאוטלוק, פייסבוק, סקייפ, גוגל, ג'ימייל, פינטרסט, יאהו, לינקדין וטוויטר, חשבונות בנקים וחשבונות אחרים.

קבוצת פשיעה מעורבת
מצד אחד, Grabit אינה עושה מאמץ מיוחד כדי להסתיר את הפעילות שלה: חלק מדוגמיות הקוד הזדוני, שנאספו, השתמשו באותו שרת אירוח ואפילו באותן הרשאות, כשהיא פוגעת באבטחה שלה עצמה. מצד שני, התוקפים השתמשו בטכניקות מזעור חזקות כדי לשמור על הקוד שלהם חסוי מעיני האנליסטים. הדבר מוביל לאמונה, שמאחורי פעילות הריגול נמצאת קבוצה מעורבת, כשחלק מהחברים יותר טכניים וממוקדים במניעת מעקב מאשר אחרים. הערכות הן, שמי שתכנת את הקוד הזדוני לא כתב את כל הקוד מאפס.
 
כדי להגן מפני Grabit, להלן המלצות על כללי האצבע הבאים:
  • בדוק את המיקום C:\Users\<PC-NAME>\AppData\Roaming\Microsoft. אם הוא מכיל קבצי הפעלה ייתכן ואתה נגוע בקוד הזדוני. זו התרעה, שאסור להתעלם ממנה.
  • הגדרות של מערכת חלונות לא צריכה להכיל grabit1.exe בטבלת האתחול. הרץ  פקודת "msconfig" והבטח, שהיא נקיה מרשומות grabit1.exe.
  • אל תפתח קבצים מצורפים וקישורים מאנשים שאתה לא מכיר. אם אתה לא יכול לפתוח את הקישור, אל תשלח לאחרים . קרא לסיוע מצד מנהל ה-IT.
  • השתמש בפתרון אנטי קוד זדוני מעודכן ומתקדם ובדוק תמיד את משימות האנטי וירוס אחר תהליכים חשודים.
עידו נאור, חוקר אבטחה בכיר בצוות מחקר וניתוח גלובלי של מעבדת קספרסקי: "אנו רואים  קמפיינים רבים של ריגול הממוקדים בארגונים, גופים ממשלתיים וישויות נוספות בעלות פרופיל גבוה, כשעסקים קטנים ובינוניים נמצאים רק לעיתים רחוקות ברשימת הקורבנות. אבל  Grabit מראה, שלא מדובר רק במשחק של 'דגים גדולים'. בעולם הסייבר כל עסק בודד, בין אם הוא מחזיק בכסף, מידע או השפעה פוליטית, הוא בעל פוטנציאל להוות גורם עניין עבור גוף זדוני כזה או אחר. Grabit עדיין פעיל ולכן חיוני לבדוק את הרשת כדי לוודא שמוגנים. ב-15.5.15 נמצא קילוגר פשוט של ,Grabit שמכיל אלפי הרשאות לחשבונות של קורבנות, אותן אסף ממאות מערכות נגועות. לא ניתן לזלזל באיום כזה".

התפלגות פגיעת Grabit

 



 
 
Bookmark and Share