מרגל נגד מרגל: קבוצות ריגול של מדינות גונבות כלים ומטרות אחת מהשניה

Google+ Pinterest LinkedIn Tumblr +

מודיעין איומים מדויק מתבסס על זיהוי של תבניות וכלים שמהווים כעין תביעת אצבע של קבוצות תקיפה שונות. ידע שכזה מאפשר לחוקרים למפות טוב יותר את היעדים,  המטרות וההתנהגות השונים של התוקפים  ומסייע לארגונים לקבוע את רמת הסיכון. כאשר הקבוצות השונות מתחילות לפרוץ האחת לשנייה, ולהשתלט על כלים, תשתיות ואפילו קורבנות, מודל הניתוח הזה מתחיל להתפרק במהירות.  

במעבדת קספרסקי מאמינים שמתקפות שכאלה – מרגל נגד מרגל – מתרחשות בעיקר על ידי קבוצות הממומנות על ידי מדינות, כשהן ממוקדות בקבוצות ממדינות זרות או בקבוצות חלשות יותר. חשוב שחוקרי אבטחת מידע ילמדו כיצד לזהות ולפרש סממנים של התקפות שכאלה, על מנת שיוכלו להציג את המודיעין שלהם בהקשר הנכון.

בסקירה מפורטת של התקפות שכאלה, חוקרי GReAT סימנו שתי גישות מרכזיות: פאסיבית ואקטיבית. התקפות פאסיביות כוללות יירוט נתונים של קבוצה אחרת הנמצאים בתנועה, לדוגמה, כאשר הוא נע מהקורבן אל שרתי הפיקוד והשליטה – וכמעט לא ניתן לאתרן. הגישה האקטיבית כוללת חדירה לתשתית הזדונית של גורם האיומים השני.

עבור הצד התוקף, בגישה האקטיבית קיים סיכון גדול יותר לחשיפתו, אבל גישה זו גם מציעה הזדמנות גדולה יותר. היא מאפשרת לתוקפים לחלץ מידע על בסיס קבוע, לנטר את פעילות הקבוצה היריבה ואת הקורבנות שלה, ואפילו לשתול התקפות בשם הקורבן. ההצלחה של התקפות אקטיביות מתבססת רבות על כך שהמטרה תבצע שגיאות באבטחת הפעילות שלה.

במהלך חקירה של גורמי איום מסוימים, צוות GReAT נתקל במספר ממצאים מוזרים ובלתי צפויים אשר מצביעים על כך שהתקפות אקטיביות כבר מתרחשות בשטח:

  1. התקנת דלת אחורית בשרתי הפיקוד והשליטה של הקבוצה השנייה
    התקנת דלת אחורית ברשת פרוצה מאפשרת לתוקפים לבסס נוכחות בתוך סביבת פעילות הקבוצה המתחרה. חוקרי מעבדת קספרסקי זיהו את מה שנראה כשתי דוגמאות פעילות בשטח של דלת אחורית שכזו.

הראשונה נמצאה ב- 2013, במהלך ניתוח שרת ששימש את NetTraveler, קמפיין ריגול בשפה הסינית שתקף אקטיביסטים וארגונים באסיה. הדוגמה השניה נמצאה ב- 2014, במהלך חקירה של אתר שנפרץ ושימש את Crouching Yeti (הידוע גם כ- Energetic Bear), שחקן דובר רוסית שתקף את המגזר התעשייתי מאז 2010. החוקרים הבחינו כי למשך תקופה קצרה התווסף ללוח הניהול של רשת הפיקוד Tag שהפנה ל- IP מרוחק בסין (כנראה הפניה לצרכי הטעיה). החוקרים מאמינים כי זו הייתה דלת אחורית השייכת לקבוצה אחרת, למרות שלא היו ממצאים לגבי זהות הקבוצה.

  1. חולקים אתרים פרוצים
    ב- 2016, חוקרי מעבדת קספרסקי מצאו אתר שנפרץ על ידי הקבוצה דוברת הקוריאנית DarkHotel. האתר שימש כמארח גם עבור קוד פריצה של קבוצת תקיפה אחרת שצוות המחקר כינה ScarCruft, קבוצה שתקפה בעיקר ארגונים רוסים, סינים ודרום קוריאנים. הפעילות של DarkHotel מתוארכת לאפריל 2016, בעוד התקפות ScarCruft הוטמעו כחודש לאחר מכן, דבר המצביע על כך ש- ScarCruft ביצעה תצפית על התקפות  DarkHotel בטרם הפעילה את אלו שלה.
  1. תקיפה באמצעות פרוקסי
    חדירה לקבוצה המחזיקה בנתח מהפעילות באזור מסוים או מגזר תעשייתי מסוים, מאפשרת לתוקף להקטין עלויות ולשפר את יכולות המיקוד שלו, כשהוא ניזון מהמומחיות שפיתח הקורבן.

חלק משחקני האיום חולקים קורבנות במקום לגנוב אותם. זוהי גישה מסוכנת, מכיוון שאם אחת מהקבוצות היא פחות מתקדמת ונלכדת ברשת, אזי הניתוח הפורנזי שיגיע לאחר מכן יחשוף גם את החודר השני. בנובמבר 2014, מעבדת קספרסקי דיווחה כי שרת השייך למכון מחקר במזרח התיכון, הידוע כ"מגנט האיומים" (Magnet of Threats), אירח במקביל פעילות של שחקני האיומים המתוחכמים ביותר Regin ו- Equation Group (דוברי אנגלית), Turla ו – ItaDuke (דוברי רוסית), וכן Animal Farm (דובר צרפתית) ו- Careto (ספרדית). למעשה, השרת היה נקודת המוצא לחשיפת Equation Group.

"ביצוע ייחוס של מתקפה הוא קשה, במקרה הטוב, מאחר ורמזים הם נדירים וניתן לשחק איתם בקלות. כעת אנו צריכים גם להתחשב בהשפעות של פריצות הדדיות בין תוקפים. ככל שיותר קבוצות ממנפות כלים, קורבנות ותשתיותשל קבוצות אחרות, וככל שהן משלבות התקפות או מתחזות לקורבן שלהם כדי לבצע התקפות נוספות, זה מציב בעמדה בעייתית את ציידי האיומים המנסים לבנות תמונה ברורה ומדויקת של האיום. הדוגמאות שלנו מצביעות על כך שהדברים כבר מתרחשים בשטח, וכי חוקרי מודיעין איומים יצטרכו לעצור ולשנות את צורת החשיבה בכל הנוגע לשיטות ניתוח פעילות של שחקני איום מתקדמים", אמר חואן אנדרס גוארו-סיידה, חוקר אבטחה ראשי, צוות מחקר וניתוח גלובלי, מעבדת קספרסקי.

כדי לעמוד בקצב השינוי המהיר של אופק האיומים, מעבדת קספרסקי מייעצת לארגונים להטמיע פלטפורמת אבטחה רחבה יחד עם מודיעין איומים טוב מסוגו. מערך פתרונות האבטחה הארגונית של מעבדת קספרסקי מספק לעסקים מניעת איומים באמצעות הגנת הדור הבא על נקודות קצה, זיהוי המבוסס על פלטפורמת Anti Targeted Attacks, וחיזוי ותגובה לאירועים באמצעות שירותי מודיעין איומים.

פרטים נוספים אודות הדרכים בהם גורמי איומם משיגים ומשתמשים בנכסים של קבוצות אחרות, כולל ייעוד מחדש של כלים וקוד זדוני, וההשלכות שלהן על מודיעין האיומים, ניתן למצוא בפוסט ב- Securelist

מקור תמונה:
Marnie Joyce from New York City, USA (2012 NYCC-21) [CC BY 2.0], via Wikimedia Commons

שתף.

.