נחשפה קב' Ghoul המשתמשת בקוד זדוני מהמדף במצוד אחר ארגוני תעשייה והנדסה
מאת:
מערכת Telecom News, 17.8.16, 14:29
הקורבנות עד כה: 130 ארגונים ב-30 מדינות. הקבוצה עדיין פעילה. מה עסקים צריכים לעשות?
צוות המחקר והניתוח הבינלאומי של מעבדת קספרסקי חשף גל חדש של התקפות ממוקדות על מגזרי תעשייה והנדסה במספר מדינות. באמצעות שימוש בהודעות פישינג ממוקדות וקוד זדוני המבוסס על כלי ריגול מסחריים, העבריינים יוצאים במצוד אחר נתונים עסקיים רבי ערך המאוחסנים ברשתות של הקורבנות שלהם. בסך הכל למעלה מ-130 ארגונים ב-30 מדינות, כולל ספרד, פקיסטן, איחוד האמירויות, פקיסטן, הודו, מצרים, בריטניה, גרמניה וערב הסעודית, נמצאים ברשימת הקורבנות של הקבוצה.
ביוני 2016 זיהו החוקרים גל של הודעות פישינג ממוקדות עם קבצים זדוניים מצורפים. הודעות אלו נשלחו בעיקר למנהלים בכירים ולרמות ביניים במספר חברות. ההודעות, שנשלחו ע"י התוקפים, נראו כאילו הן מגיעות מבנק באיחוד האמירויות: הן התחזו להצעת תשלום מהבנק עם מסמכי
SWIFT מצורפים. אולם, במציאות קובץ הארכיב המצורף הכיל קוד זדוני.
חקירה נוספת הראתה, שקמפיין הפישינג הזדוני הממוקד אורגן כנראה ע"י קבוצת עברייני סייבר, שכבר הייתה במעקב של חוקרי החברה מאז מרץ 2015. נראה היה, שהתקפות חודש יוני היו חלק ממבצע חדש שערכה הקבוצה.
הקובץ הזדוני, שצורף לקמפיין, מבוסס על כלי הריגול המסחרי
,HawkEye שנמכר באופן חופשי ב-
Darkweb, (הרשת האפלה), ומספק לתוקפים כלים שונים. לאחר ההתקנה הוא אוסף נתונים מעניינים ממחשבי הקורבן, כולל:
- הקשות מקלדת,
- נתוני קליפבורד,
- הרשאות לשרת FTP,
- נתוני חשבון מדפדפנים,
- נתוני חשבון מתוכנות דואר אלקטרוני (אאוטלוק, חלונות לייב מייל ועוד),
- מידע אודות אפליקציות מותקנות (מיקרוסופט אופיס).
לאחר מכן נשלחים הנתונים לשרתי הפיקוד והשליטה של הקבוצה. בהתבסס על נתונים, שהתקבלו מ"בולענים" (
Sinkhole) של חלק משרתי הפיקוד והשליטה, רוב הקורבנות הם ארגונים העובדים
במגזר התעשייתי או ההנדסי. ארגונים אחרים קשורים למגזרי שוק כדוגמת
ספנות, פארמה, ייצור, חברות סחר, מוסדות השכלה וגופים נוספים.
כל החברות, שהותקפו, מחזיקות מידע יקר ערך, שניתן למכור בשוק השחור – רווח כספי הוא המניע המרכזי של התוקפים שמאחורי
Guoul. המבצע, שקיבל את שמו ע"י חוקרי מעבדת קספרסקי, הוא רק אחד ממספר קמפיינים, שלכאורה נשלטים ע"י אותה הקבוצה. הקבוצה עדיין פעילה.
כדי להתגונן מפני מבצע
Ghoul ומאיומים דומים, מומלץ לעסקים להטמיע את האמצעים הבאים:
לימוד הצוות, כדי שיוכל להבחין בין הודעת פישינג ממוקד או קישור פישינג לבין הודעות אמיתיות וקישורים.
שימוש בפתרון אבטחה מוכח לרמה ארגונית, בשילוב פתרונות נגד התקפות, שאינן ממוקדות, שמסוגלים לזהות התקפות באמצעות ניתוח פעילות חריגה ברשת.
מתן גישה של צוות האבטחה למודיעין האיומים העדכני ביותר, שיחמש אותu בכלים חשובים למניעת וזיהוי התקפות נקודתיות, כגון סימנים לפגיעה וחוקי
YARA.
קוד זדוני של הקבוצה, שמאחורי
Ghoul, נמצא תחת השמות הבאים:
Trojan.MSIL.ShopBot.ww
Trojan.Win32.Fsysna.dfah
Trojan.Win32.Generic
מוחמד אמין חסיבני, מומחה אבטחה, מעבדת קספרסקי: "בפולקלור העתיק,
Ghoul היא רוח רעה, שמייחסים לה אכילת בשר אדם ורדיפה אחר ילדים. במקור היא
שד מסופוטמי. כיום, המונח
Ghoul משמש לעיתים כדי לתאר
אנשים חומרניים או תאווי בצע. זה תיאור די מדויק של הקבוצה, שמאחורי מבצע זה.
המוטיבציה המרכזית שלה היא רווח פיננסי המגיע ממכירה של נכסים אינטלקטואליים או ממודיעין עסקי, או מהתקפה על חשבונות בנק של הקורבנות. בשונה משחקנים מגובי מדינה, שהמטרות שלהם נבחרות בקפידה, קבוצה זו והדומות לה עלולות לתקוף כל חברה. למרות שהם משתמשים בכלים זדוניים פשוטים יחסית, ההתקפות שלהם יעילות מאוד. לכן, חברות, שאינן ערוכות כדי לזהות מתקפות כאלה, כנראה תסבולנה מהן".
מידע נוסף על הקבוצה - כאן. 
