זוהה קמפיין תקיפה של קבוצת תקיפה מדינתית נגד מגזרי תעופה, חלל וטלקום

זוהה קמפיין תקיפה של קבוצת תקיפה מדינתית נגד מגזרי תעופה, חלל וטלקום
מאת: מערכת Telecom News, 8.10.21, 20:25

במחקר קמפיין התקיפהOperation GhostShell , שמטרתו ריגול, נמצא, שקבוצת התקיפה MalKamak עשתה שימוש בכלי תקיפה לא מוכר. עיקרי הממצאים של המחקר, ופירוט דרכים להתמודדות מטעם מערך הסייבר הלאומי.
     
לאחרונה פרסמה חברת Cybereason מחקר, שבו זוהתה קבוצת תקיפה מדינתית, שעשתה שימוש בכלי תקיפה לא מוכר. קבוצת התקיפה פעלה בעיקר באזור המזרח התיכון, אך גם בארה"ב, רוסיה ואירופה.

קמפיין התקיפה קיבל את הכינוי Operation GhostShell.

מטרת התקיפה הייתה ריגול - גניבת מידע רגיש מהארגונים הנתקפים לגבי נכסיהם, תשתיותיהם, והטכנולוגיות שבשימושם.

התוקפים השתמשו בכלי תקיפה לא מוכר מסוג RAT (Remote Access Trojan) בעל תכונות הסתרה (Stealth). הכלי כתוב ב-NET. וקיבל את הכינוי ShellClient.

החוקרים מצאו עדויות לפיתוח מתמיד של כלי התקיפה, ושימוש במספר גרסאות שלו החל מ-2018. נכון להיום מוכרים לפחות 6 גרסאות שונות של הכלי.

קבוצת התקיפה קיבלה את הכינוי MalKamak, ונמצאו סימנים המעידים על קשר בין קבוצת תקיפה זו לקבוצות התקיפה Chafer APT (APT39) ו-Agrius APT.

הגרסאות האחרונות של כלי התקיפה עושות שימוש בתשתיות ענן, ספציפית באתר Dropbox, למימוש פרוטוקול שו"ב בין העמדות המותקפות לשרת ה-C2 של התוקפים. מטרת השימוש בתשתית זו, להסוות את תעבורת השו"ב בתעבורת הרקע הארגונית אל שירותי ענן.

התוקפים השקיעו מאמצים ניכרים כדי לגרום לכלי להיות חשאי (Stealth) ככל האפשר. לפי הידוע עד כה, הם אכן הצליחו בכך במשך כ-3 שנים, החל מ-2018.

הכלי מופעל על העמדות המותקפות תחת השם svchost.exe, ושמו הפנימי מוגדר כ-RuntimeBroker.exe. שני השמות שייכים לקבצים לגיטימיים של מערכת ההפעלה, והמטרה היא להקשות על זיהוי הכלי כעוין.

הכלי מתקשר עם התוקפים באמצעות העלאת והורדת קבצים אל/מ תשתית הענן הפומבית Dropbox. הכלי מתקשר עם תשתית זו באמצעות מפתח API ייחודי ומצפין את המידע באמצעות מפתח הצפנה של אלגוריתם AES המקודד ((Hard Coded בתוך הכלי.

כלי הפועל על עמדה שהותקפה, מתשאל בכל 2 שניות את שרתי Dropbox, כדי לזהות האם ממתינות פקודות חדשות עבורו.

הכלי משמר אחיזה בעמדה מותקפת באמצעות הגדרת Service הפועל בהרשאות System.

הכלי מסוגל לבצע פקודות רבות. פירוט הפקודות בפרסום מערך הסייבר הלאומי וגם יש פירוט רב על המחקר כולו בבלוג של Cybereason.
 
ראו להלן פירוט של שיטות הפעולה של התוקפים, על פי מודל Att&ck של Mitre  (מקור סייבריזון): תנועה רוחבית בוצעה באמצעות הכלי PAExec שהוא גרסה של הכלי המוכר PsExec וכן באמצעות שימוש בפקודה המובנית  Net Use

התוקפים עשו שימוש בכלי לא מוכר בשם lsa.exe המדליף נתוני הזדהות מתוך הזיכרון של התהליך lsass.exe ההערכה היא, שכלי זה הואוריאנט של הכלי המוכר  SafetyKatz

נעשה שימוש בכלי WinRar כדי לדחוס את המידע שנגנב מהארגון טרם הדלפתו לתוקפים.

עיקרי הממצאים לגבי כלי זה נמצאים בתמונה המצורפת מטה. מקור-  .Cybereason

פירוט של שיטות הפעולה של התוקפים, על פי מודל Att&ck של Mitre נמצא בבלוג של סייבריזון ובפרסום מערך הסייבר הלאומי.

דרכי התמודדות
מומלץ לנטר פעילות מרשת הארגון לאתרים של Dropbox כדי לזהות פעילות חריגה בהיקפה או בזמן ביצועה, ובפרט זיהוי של עמדות הפונות כל מספר שניות לאתר.

אם ארגונכם אינו מתיר שימוש באתר זה מהרשת הארגונית, מומלץ לבחון חסימת הגישה אליו.

מומלץ לנטר הפעלה ממוכנת של תוכנת WinRar בעמדות הארגוניות, בפרט אם תוכנה זו אינה חלק מערכת ההתקנה הסטנדרטית בעמדות אלו. אם ארגונכם יכול ליישם פתרון מסוג Application Whitelisting בפרט בעמדות מנהלנים, מומלץ לבחון זאת.

מומלץ לבחון הגדרת תשתית התקשורת ברשת הארגונית. כך, שלא תאפשר תקשורת ישירה בין עמדות עבודה, אלא רק בין עמדות עבודה לשרתים ולשירותים ארגוניים. מניעת תנועה רוחבית באופן זה תקשה על תוקף לבצע תנועה חופשית ברשת, ואף עשויה לסייע בזיהויו. ניתן לממש מדיניות זו באמצעות צירוף של חוקי Firewall מרכזיים, חוקי Firewall על עמדות העבודה והשרתים עצמם, והגדרות מתאימות בציוד התקשורת. מומלץ לבחון מדיניות זו בסביבת ניסוי טרם הטמעתה בסביבת ייצור.

מומלץ לבחון הטמעת פתרון לניהול סיסמאות המנהלנים המקומיים בעמדות העבודה ובשרתים, כגון LAPS - Local Administration Password Solution , מומלץ לבחון הפתרון בסביבת ניסוי טרם הטמעתו בסביבת ייצור.

מומלץ לנטר הגדרת Service חדש בתחנות העבודה ובשרתים, שלא במסגרת פעילות יזומה של צוות המנהלנים.