Connect with us

מתקפות סייבר

המיני פליים: מתקפת הגל השני של פליים

פורסם

ב-

קספרסקי הכריזה היום על חשיפת miniFlame, קוד זדוני גמיש במיוחד שנועד לגנוב מידע ולשלוט במערכות נגועות לצרכי פעולות ריגול מקוונות ממוקדות במיוחד.

ה- miniFlame, אשר גם ידוע כ- SPE, נחשף על ידי מעבדות קספרסקי במהלך יולי 2012, ונועד במקור לשמש כמודול של פליים. עם זאת, במהלך ספטמבר 2012, ביצע צוות המחקר של קספרסקי מחקר עומק של מערכות השליטה והבקרה (C&C) של ה-Flame, ממנו עולה כי מודול ה- miniFlame הוא למעשה כלי אשר יכול לפעול כקוד זדוני עצמאי, או לפעול במקביל כתוסף ל- Flame ול- Gauss.

הניתוח של ה- miniFlame חשף מספר גרסאות שנוצרו בשנים 2010 ו- 2011, כשחלק מהן עדיין פעילות. הניתוח גם חשף עדויות לשיתוף פעולה בין יוצרי ה-Flame וה-Gauss, כששני היישומים הזדוניים עושים שימוש ב- miniFlame כסוג של תוסף במסגרת פעולתם.

חשיפת ה- miniFlameהתרחשה במהלך חקירת עומק של הפליים והגאוס. ביולי 2012 זיהו חוקרי מעבדת קספרסקי מודול נוסף של גאוס, בשם הקוד "ג'ון" וגילו התייחסות למודול הזה בקצבי הקונפיגורציה של פליים. ניתוח שרתי השליטה והבקרה של פליים שבוצע בספטמבר תרם להבנה כי מדובר למעשה בתוכנה זדונית נפרדת, שניתן להשתמש בה גם כמעין תוסף. יכולתו של ה- miniFlameלפעול כתוסף היא זו שקושרת אותו למעשה ליוצרי הפליים והגאוס. מאחר והקשר בין יוצרי הפליים וה- Stuxnet/Duqu כבר נחשף, ניתן להסיק כי כל האיומים המקוונים המתקדמים הללו מגיעים למעשה מאותו "מפעל" לייצור נשק סייבר.

דרך ההדבקה המקורית של המיניפליים עדיין לא נקבעה. אך אם לוקחים בחשבון את הקשר הוודאי בין ה-miniFlame, הפליים והגאוס, אפשר להניח כי ה- miniFlameהותקן על מכונות שכבר נפגעו על ידי השניים האחרים. ברגע שהותקן, ה- miniFlame פועל כדלת אחורית ומאפשר למפעילי קוד זדוני גישה לכל קובץ במחשב הנגוע. בנוסף, התוסף מתגאה גם במספר יכולות גניבת מידע נוספות, כגון, יצירת צילום מסך של המחשב הנגוע בזמן הרצת יישומים מסויימים – דפדפנים, יישומי אופיס, אקרובט רידר, תוכנות מסרים מידיים ויישומי FTP. ה- miniFlameמשדר את המידע הגנוב באמצעות חיבור לשרתי הפיקוד והשליטה (אשר יכולים להיות ייחודיים לתוסף או משותפים עם אלה של הפליים). בנוסף, על פי בקשה ממערכת הפיקוד והשליטה של הפליים, ניתן לשלוח למחשב הנגוע מודול נוסף לגניבת מידע, המדביק את כונני ה-USB ומשתמש בהם כדי לאחסון נתונים הנאספים, ללא צורך בקישור לאינטרנט.

Advertisement

לדברי אלכסנדר גוסטב, מומחה אבטחת מידע ראשי בקספרסקי, "ה- miniFlameהוא כלי התקפה מדויק במיוחד. סביר להניח כי זהו נשק סייבר ממוקד שניתן להגדירו כהתקפת גל שני. בגל הראשון, נשלחים הפליים או הגאוס כדי להדביק מספר קורבנות גדול ככל שניתן ולאסוף כמות גדולה של מידע. לאחר שהמידע נאסף ונבדק, מוגדרים ומזוהים יעדיי התקיפה המעניינים שיש לטרגט במיוחד, ובגל התקיפה השני נשלח ה-ה- miniFlameלצורך מעקב וריגול עומק. הגילוי של מיניפליים מספק לנו עדות נוספת באשר לשיתוף הפעולה בין היוצרים של התוכנות הזדוניות המשמעותיות ביותר בלוחמת הסייבר: Stuxnet, Duqu, Flame ו- Gauss".

Continue Reading

Copyright © 2017 Zox News Theme. Theme by MVP Themes, powered by WordPress.