אותרו תקיפות של ארגונים ממגזר האנרגיה למטרת גניבת נתוני הזדהות

אותרו תקיפות של ארגונים ממגזר האנרגיה למטרת גניבת נתוני הזדהות
מאת: מערכת Telecom News, 9.7.17, 18:39
 
התקיפה מבוססת על משלוח דוא"ל זדוני לגורמים בארגונים הקשורים למגזר האנרגיה, וכן הדבקת אתרי חברות אנרגיה מתחדשת, אתרי חדשות מגזריים, חברות ייעוץ ומשרדי ממשלה במזה"ת הקשורים למגזר זה.
 
דווח, שהתוקף משתמש בטקטיקות של דיוג ממוקד עם קבצים מצורפים, וכן בתקיפות מסוג Watering Hole להדבקת היעדים. לאחר ההדבקה, נעשית פניה באמצעות פרוטוקול SMB (TCP/445) לשרת בשליטת התוקף, כדי לאסוף נתוני ההזדהות של המשתמש, שיפוצחו לאחר מכן.

התקיפה מבוססת על משלוח דוא"ל זדוני לגורמים בארגונים הקשורים למגזר האנרגיה, וכן הדבקת אתרים שונים (אתרי חברות אנרגיה מתחדשת, אתרי חדשות מגזריים, חברות ייעוץ ומשרדי ממשלה במזרח התיכון) הקשורים למגזר זה.
 
הקובץ המצורף הנגוע מכיל הוראה לגשת לשרת קבצים הנתון לשליטת התוקף, ומערכת ההפעלה מנסה לגשת לשרת הנ"ל תוך שהיא שולחת נתוני הזדהות של המשתמש המותקף.
 
לאחר מכן, ניתן לנסות ולפצח נתונים מוצפנים אלה באמצעות תקיפות מסוג Brute Force ואחרות על הסיסמה, באופן לא מקוון.
 
ייתכן, שחלק מהקבצים הנגועים משדרים פניה בפרוטוקול HTTP המתפקדת כ-WEB BUG, באופן שהתוקף מקבל מידע מי פתח את הקבצים הנגועים.
 
גלישה לאתר, שהודבק ע"י התוקף, תפעיל קוד, שינסה לגשת לשרת הקבצים במתווה דומה.
 
מומלץ לבחון האם נדרשת מטעמים עסקיים, גישה מרשת הארגון לשרת באינטרנט בפרוטוקול SMB. במידה שהתשובה שלילית, מומלץ לבחון הגדרת חוק ב-Firewall, שימנע תעבורה זו.