Connect with us

מתקפות סייבר

הטרנד החדש בעולם העבריינות המקוונת: מלחמות ההאקרים

פורסם

ב-

פעם ההאקרים נלחמו רק בארגונים שאליהם הם ניסו לחדור, היום הם כבר מתחילים להילחם האחד בשני. מעבדת קספרסקי תיעדה דוגמא נדירה ויוצאת דופן להתקפה של עבריין רשת אחד על אחר. קבוצת ריגול מקוון קטנה וחסרת יכולות טכניות יוצאות דופן בשם הלסינג (Hellsing), אשר תקפה בעיקר ארגונים ממשלתיים ודיפלומטיים באסיה, הפכה בעצמה, במהלך שנת 2014, קורבן למתקפת פישינג מצד שחקן אחר והחליטה לתקוף חזרה. מעבדת קספרסקי מאמינה כי ייתכן שהדבר מסמל מגמה חדשה בעולם העבריינות המקוונת: מלחמות APT.

החשיפה נעשתה על ידי מומחי מעבדת קספרסקי במהלך מחקר לגבי Naikon, קבוצת ריגול סייבר אשר תקפה ארגונים באזור אסיה-פסיפיק. המומחים הבחינו כי אחת ממטרות Naikon איתרה את הניסיון להדביק את המערכות שלה באמצעות דוא"ל פישינג ממוקד אשר נשא קוד זדוני מצורף.

המטרה פיקפקה באמינות הדואר האלקטרוני ולא פתחה את הקובץ המצורף. זמן קצר לאחר מכן המטרה הפנתה אל השולח דוא"ל אשר הכיל את אותו קוד זדוני שנשלח אליה. המהלך הדליק נורה במחקר שביצעה מעבדת קספרסקי והוביל לחשיפת קבוצת הריגול המקוון הלסינג. שיטת מתקפת הנגד מצביעה על כך שהלסינג רצתה לזהות את קבוצת Naikon ולאסוף מודיעין לגביה.

ניתוח עומק של פעילות הלסינג חשף שורה של הודעות פישינג ממוקדות עם קוד זדוני מצורף, אשר נועדה להפיץ בין ארגונים שונים קוד זדוני לריגול. אם הקורבן פותח את ההודעה הזדונית, המערכת נדבקת בדלת אחורית מותאמת אישית אשר מסוגלת להוריד ולהעלות קבצים, ולעדכן ולהסיר את עצמה. על פי תצפית של מעבדת קספרסקי, מספר הארגונים שהותקפו על ידי הלסינג הוא קרוב ל- 20.

החברה זיהתה וחסמה קוד זדוני של הלסינג במלזיה, בפיליפינים, הודו, אינדונזיה וארה"ב, כאשר רוב הקורבנות ממוקמים במלזיה ובפיליפינים. התוקפים בררניים מאוד לגבי סוג הארגונים שהם תוקפים, כשהם מנסים לפרוץ בעיקר לישויות ממשלתיות ודיפלומטיות. על פי הניתוח של מעבדת קספרסקי, הלסינג פעילה לפחות מאז 2012 והיא עדיין בשטח.

Advertisement

"תקיפת קבוצת Naikon על ידי הלסינג, בסוג של רדיפה נקמנית בסגנון 'האימפריה מכה שנית', היא מרתקת. בעבר, ראינו קבוצות APT פוגעות בטעות אחת בשניה, תוך גניבת רשימת כתובות מהקורבן ולאחר מכן שליחת הודעות המוניות לכל אחד ברשימה. אך כאשר בוחנים את מקור המתקפה, נראה כי כאן מדובר במתקפת APT על APT מכוונת", אמר קוסטין ריאו, מנהל צוות מחקר וניתוח גלובלי של מעבדת קספרסקי.

הנה כמה המלצות בסיסיות להגנה מפני התקפות הלסינג:

  • אל תפתח קבצים מצורפים מאנשים שאינך מכיר
  • היזהר מקבצי ארכיב המכילים קבצי CSR או סוג אחר של קבצי הפעלה
  • אם אינך בטוח לגבי קובץ מצורף, פתח אותו ב- sandbox
  • היה בטוח שיש לך מערכת הפעלה עדכנית עם כל העדכונים מותקנים בה
  • עדכן אפליקציות צד שלישי, כגון אופיס של מיקרוסופט, ג'אווה, אדובי פלאש ואדובי רידר

כדי ללמוד יותר אודות האיום של הלסינג וקמפיין הריגול "האימפריה מכה שנית" כנסו לכאן.

לצפייה בווידאו:

 

Advertisement