קספרסקי חשפה את קבוצת פוסידון המתמקדת בפשעי סייבר נגד גופים פיננסיים וחברות טלקום

בימים האחרונים חשפו מעבדות קספרסקי מספר קבוצות של פושעי סייבר שכדאי להיזהר מהן. הראשונה שבהן היא חשיפת קבוצת "פוסידון" (Poseidon), שחקן איום מתקדם הפעיל בזירת ריגול הסייבר הבינלאומי לפחות מאז 2005. מה שגורם לקבוצת פוסידון לבלוט הוא בכך שמדובר בישות מסחרית, שההתקפות שלה משלבות קוד זדוני אישי עם חתימה דיגיטלית של תעודות מזויפות, המופעל כדי לגנוב מידע רגיש מקורבנות ולכפות עליהם יחסים עסקיים. בנוסף, הקוד הזדוני תוכנן כדי לפעול במיוחד במחשבים מבוססי מערכת חלונות בשפות אנגלית ופורטוגזית – זו הפעם הראשונה שנחשפת שיטת פעולה כזו במסגרת התקפה ממוקדת.

35 חברות אשר נפלו קורבן לפעילות הקבוצה משתייכות למגזרי המטרה, הכוללים גופים פיננסים וממשלתיים, חברות טלקום, ייצור, אנרגיה ותשתיות אחרות, וכן חברות מדיה ויחסי ציבור. מומחי מעבדת קספרסקי גם זיהו מתקפות על חברות שירות אשר מטפלות בבעלי תפקידים בכירים בארגונים. קורבנות בקבוצה זו נמצאו במדינות הבאות: ארה"ב, צרפת, קזחסטן, איחוד האמירויות, הודו ורוסיה. עם זאת, פריסת הקורבנות מוטה מאוד כלפי ברזיל, שם לרבים מהקורבנות יש אחזקות או פעילות שותפים.

אחד מהמאפיינים של קבוצת פוסידון הוא חקירה פעילה של רשתות ארגוניות על פי דומיין. על פי הדוח של מעבדת קספרסקי, קבוצת פוסידון מסתמכת על הודעות פישינג ממוקד אליהן מצורפים קבצי RTF/DOC, הפונות בדרך כלל למשאבי אנוש, ומזריקות קוד בינארי זדוני אל מערכת המטרה כאשר פותחים את הקבצים. ממצא מרכזי נוסף הוא הנוכחות של מחרוזות בפורטוגזית-ברזילאית. ההעדפה של הקבוצה למערכות בשפה הפורטוגזית-ברזילאית, כפי שנחשף בדוגמיות שנאספו, היא דרך פעולה שלא נצפתה בעבר.

ברגע שמחשב מודבק, הקוד הזדוני מדווח לשרתי הפיקוד והשליטה לפני שהוא מתחיל בשלב מורכב של תנועה רוחבית. שלב זה ימנף לעיתים קרובות כלי מיוחד, אשר אוסף באופן אוטומטי ואגרסיבי טווח רחב של סוגי מידע, כולל הרשאות, מדיניות ניהול קבוצות, ואפילו לוגים של המערכת, כדי לתכנן טוב יותר התקפות עתידיות ולהבטיח הוצאה לפועל של הקוד הזדוני. בכך, התוקפים למעשה יודעים באילו אפליקציות ופקודות הם יכולים להשתמש מבלי להפעיל התרעה אצל מנהל הרשת במהלך התנועה הרוחבית וחילוץ המידע.

המידע שנאסף ממונף לאחר מכן באמצעות עסק חיצוני, כדי לגרום לקורבנות ליצור קשר עם קבוצת פוסידון כיועצת אבטחה, תחת איום של ניצול המידע שנאסף בסדרה של עסקאות מפוקפקות לרווחת פוסידון.

"קבוצת פוסידון פועלת זמן רב בכל התחומים: יבשה, אוויר וים. חלק ממרכזי הפיקוד והשליטה שלה נמצאים בתוך ספקי שירותי אינטרנט אלחוטיים לאוניות בים, וכן בספקים של שירותי תקשורת מסורתיים", אמר דמיטרי בשוזב, מנהל צוות מחקר וניתוח בינלאומי, במעבדת קספרסקי אמריקה הלטינית. "בנוסף, נמצא כי למספר שתלים של הקבוצה יש אורך חיים קצר מאוד, אשר תורם ליכולת שלה לפעול במהלך זמן כה ארוך ללא גילוי".

מאחר וקבוצת פוסידון הייתה פעילה במהלך יותר מ- 10 שנים, הטכניקות המשמשות אותה בתכנון השתלים שלה התפתחו, ובכך הקשו על חוקרים רבים לחבר סימנים שונים לתמונה אחת גדולה. עם זאת, באמצעות איסוף זהיר של כל העדויות, עבודה עם הקליגרפיה של הקבוצה ובניית רצף הזמנים של התוקף, באמצע 2015 מומחי מעבדת קספרסקי הצליחו לבסס את ההבנה כי עקבות שזוהו בעבר אכן שייכות לאותה קבוצת פוסידון.

ADwind – פלטפורמת Malware-as-a-Service אשר פגעה ביותר מ- 400,000 משתמשים

בנוסף, חשפה מעבדת קספרסקי את ADwind – פלטפורמת Malware-as-a-Service אשר פגעה ביותר מ- 400,000 משתמשים וארגונים ברחבי העולם. חוקרי מעבדת קספרסקי מעריכים כי מדובר בפלטפורמת הקוד הזדוני הגדולה ביותר כיום.

צוות המחקר והניתוח הבינלאומי של מעבדת קספרסקי פירסם מחקר נרחב אודות Adwind RAT, פלטפורמה זדונית מרובת יכולות אשר ידועה גם כ- AlienSpy, Frutas, Unrecom, Sockrat, ISocket ו- jRat, ואשר מופצת באמצעות פלטפורמת Malware-as-a-Service (קוד זדוני כשירות). על פי תוצאות החקירה, שנערכה בין 2015 ל- 2016, גרסאות שונות של Adwind היו בשימוש במסגרת מתקפות נגד למעלה מ-443,000 משתמשים פרטיים וארגונים מסחריים ושאינם מסחריים ברחבי העולם. הפלטפורמה והקוד הזדוני עדיין פעילים.

בסוף 2015, חוקרי מעבדת קספרסקי זיהו תוכנה זדונית חריגה, אשר נחשפה במהלך מתקפה ממוקדת נגד בנק בסינגפור. קובץ JAR זדוני צורף לדוא"ל ממוקד שהתקבל על ידי עובד בבנק. היכולות העשירות של הקוד הזדוני, כולל היכולת לרוץ על מספר פלטפורמות, וכן העובדה שהוא לא זוהה על ידי אף פתרון אנטי וירוס, לכדו את תשומת לב החוקרים.

מסתבר כי הארגון הותקף על ידי Adwind RAT, דלת אחורית הזמינה לרכישה, אשר נכתבה באופן מלא בג'אווה – עובדה ההופכת אותה לחוצת פלטפורמות. היא יכולה לפעול על חלונות, OS X, לינוקס ואנדרואיד, ולספק יכולות שליטה מרחוק, איסוף נתונים, חילוץ מידע, ועוד. אם משתמש המטרה פותח את קובץ ה- JAR המצורף, הקוד הזדוני מתקין את עצמו ומנסה לתקשר עם שרת הפיקוד והשליטה. רשימת היכולות של הקוד הזדוני כוללת את האיפיונים הבאים:

• רישום הקלדות
• גניבת סיסמאות שמורות ואיסוף מידע מטפסים באינטרנט
• ביצוע צילומי מסך
• ביצוע תמונות והקלטת וידאו ממצלמת הרשת
• הקלטת קול מהמיקרופון
• העברת קבצים
• איסוף מידע מערכת כללי ונתוני משתמש
• גניבת מפתחות לארנקים של מטבע קריפטוגרפי
• ניהול SMS (באנדרואיד)
• גניבת תעודות VPN

בעוד הוא משמש בעיקר תוקפים אופרטוניסטים ומופץ בהיקף נרחב בקמפיינים של ספאם, ישנם מקרים בהם Adwind נמצא בשימוש במסגרת התקפות ממוקדות. באוגוסט 2015, Adwind צץ בחדשות בהקשר של ריגול סייבר נגד תובע ארגנטינאי אשר נמצא מת בינואר 2015. האירוע נגד הבנק הסינגפורי היה דוגמא נוספת להתקפה ממוקדת. בחינה עמוקה של אירועים הקשורים ב- Adwind RAT מראה כי התקפות ממוקדות אלה לא היו היחידות.

מטרות מעניינות

במהלך החקירה שביצעו מומחי מעבדת קספרסקי, הם הצליחו לנתח כמעט 200 דוגמאות של התקפות קוד זדוני אשר אורגנו על ידי עברייני סייבר בלתי מוכרים במטרה להפיץ את Adwind, והצליחו לזהות את התעשיות שרוב המטרות עבדו בהן הן: ייצור, פיננסים, הנדסה, עיצוב,  קמעונאות, ממשל, תובלה, טלקום, תוכנה, השכלה, ייצור מזון, שירותי בריאות, מדיה ואנרגיה.

בהתבסס על מידע מרשת האבטחה של קספרסקי, 200 דוגמיות של התקפות פישינג ממוקד של Adwind RAT זוהו במהלך ששת החודשים שבין אוגוסט 2015 וינואר 2016, בהם נתקלו 68,000 משתמשים באותה התקופה. התפוצה הגיאוגרפית של המותקפים אשר נרשמה ברשת האבטחה מראה כי כמעט חצי (49%) מהם חיים ב- 10 המדינות הבאות: איחוד האמירויות, גרמניה, הודו, ארה"ב, איטליה, רוסיה, ויטנאם, הונג קונג, טורקיה וטאייוואן.

בהתבסס על פרופיל המטרות שזוהו, חוקרי מעבדת קספרסקי מאמינים כי הלקוחות של פלטפורמת Adwind מחולקים בין הקטגוריות הבאות: פושעי סייבר אשר רוצים לעלות לרמה הבאה (באמצעות שימוש בקוד זדוני להונאות מתקדמות יותר), מתחרים עסקיים לא הוגנים, שכירי סייבר (מרגלים להשכרה), ועצמאיים אשר רוצים לרגל אחר אנשים שהם מכירים.

איום כשירות

אחד מהמאפיינים המרכזיים אשר מבדיל את Adwind RAT מקוד זדוני מסחרי אחר, הוא בכך שהוא מופץ באופן חופשי בצורת שירות בתשלום, במסגרתו ה"לקוח" משלם דמי שימוש בקוד הזדוני. בהתבסס על חקירת פעילות משתמשים בלוח מודעות פנימי ותצפיות אחרות, חוקרי מעבדת קספרסקי מעריכים כי היו כ- 1,800 משתמשים במערכת עד סוף 2015. נתון זה הופך אותה לפלטפורמת הקוד הזדוני הגדולה ביותר כיום.

"פלטפורמת Adwind במצבה הנוכחי מורידה באופן משמעותי את הידע המקצועי הנדרש מעבריין פוטנציאלי המחפש להיכנס לתחום הפשיעה המקוונת. מה שאנו יכולים לומר על בסיס חקירת ההתקפה נגד הבנק הסינגפורי היא שהעבריין שמאחוריה היה רחוק מלהיות האקר מקצועי, ואנו חושבים שרוב 'לקוחות' Adwind מגיעים מאותה רמה של השכלת מחשבים. זוהי מגמה מדאיגה", אמר אלכסנדר גוסטב, מומחה אבטחה ראשי במעבדת קספרסקי.

"על אף מספר דיווחים אודות דורות שונים של כלי זה שפרסמו ספקי אבטחה בשנים האחרונות, הפלטפורמה עדיין פעילה ומאוכלסת על ידי עבריינים מכל הסוגים. ערכנו מחקר זה במטרה להסב את תשומת לב קהילת האבטחה ורשויות אכיפת החוק, וכדי לעשות את הצעדים הנדרשים במטרה לשבש אותה לחלוטין", אמר ויטאלי קמלוק, מנהל צוות מחקר וניתוח בינלאומי ב- APAC במעבדת קספרסקי.

מעבדת קספרסקי דיווחה על הממצאים אודות פלטפורמת Adwind לרשויות אכיפת החוק.

חשיפת תרגילים חדשים וחקיינים של Carbanak – קבוצת שודדי הבנקים הנודעת

החשיפה השלישית של מעבדת קספרסקי מהשבוע היא חשיפת תרגילים חדשים וחקיינים של Carbanak – קבוצת שודדי הבנקים הנודעת. שנה לאחר שמעבדת קספרסקי התריעה כי עברייני סייבר מתחילים לאמץ כלים ושיטות של מתקפות ריגול מגובות מדינה כדי לשדוד בנקים, מאשרת קספרסקי את חזרתו של Carbanak, המוגדר הפעם כ- Carbanak 2.0 וחושפת שתי קבוצות נוספות הפועלות בסגנון דומה: Metel ו- GCMAN. הקבוצות תוקפות ארגונים פיננסים באמצעות פעילות מודיעין סמויה, בסגנון מתקפות ריגול (APT) וקוד זדוני מותאם, יחד עם תוכנה לגיטימית ושיטות חדשניות לחילוץ הכסף.

קבוצת עברייני הסייבר Metel מחזיקה בתרגילים רבים בספר התרגילים שלה, אבל היא מעניינת במיוחד בגלל שיטת עבודה חכמה במיוחד: באמצעות השגת שליטה על מכונות בבנק שיש להן גישה לפעולות כספיות (כגון מרכז שירות / מחשבי תמיכה), הכנופיה יכולה לבצע רול-בק אוטומטי (גלגול לאחור) של פעולות בכספומט.

יכולת הרול-בק מבטיחה כי המאזן בכרטיסי חיוב נותר זהה, ללא קשר למספר עסקאות הכספומט שבוצעו. במקרים שנצפו עד היום, קבוצת העבריינים גונבת כסף תוך נסיעה בערים ברוסיה במהלך הלילה וריקון של מכשירי כספומט השייכים למספר בנקים – באופן חוזר באמצעות אותם כרטיסי חיוב שהונפקו על ידי הבנק שנפגע. כך שבמהלך לילה אחד בלבד הם מצליחים להשלים גניבות כספים עצומות.

"השלב הפעיל במתקפת סייבר הופך כיום לקצר יותר. כאשר תוקפים הופכים למיומנים בפעולה מסוימת, לוקח להם מספר ימים או שבוע בלבד לקחת את מה שהם רוצים ולברוח", אמר סרגיי גולבאנוב, חוקר אבטחה ראשי בצוות המחקר והניתוח הבינלאומי של מעבדת קספרסקי.

במהלך החקירה, מומחי מעבדת קספרסקי חשפו כי מפעילי Metel משיגים את ההדבקה הראשונית באמצעות הודעות דוא"ל של פישינג ממוקד עם קבצים זדוניים מצורפים, ובאמצעות חבילת הפריצה Niteris הם מנצלים פרצות בדפדפן הקורבן. ברגע שהם בתוך הרשת, עברייני הסייבר משתמשים בכלי בדיקות פריצה (Pentest) לגיטימיים כדי לבצע תנועה רוחבית במערכת, כשהם מפצחים את בקר הדומיין המקומי, ובסופו של דבר מאתרים ומשיגים שליטה על מחשבים המשמשים את עובדי הבנק האחראים לעיבוד כרטיסי חיוב.

קבוצת Metel עודנה פעילה והחקירה לגבי פעילותה עדיין נמשכת. עד עתה לא זוהתה אף התקפה מחוץ לרוסיה, ועדיין, ישנו חשד מבוסס כי ההדבקה היא רחבה בהרבה, ומומלץ לבנקים ברחבי העולם לבדוק באופן אקטיבי את הנושא.

כל שלושת הכנופיות שזוהו עוברות לשימוש בקוד זדוני בליווי תוכנה לגיטימית: מדוע לכתוב ולפתח כלים עצמאיים רבים, כאשר כלים לגיטימיים יכולים להיות יעילים באותה מידה, ולהפעיל הרבה פחות אזעקות.

במונחי חמקנות, קבוצת GCMAN עולה על האחרות: לעיתים היא יכולה לתקוף ארגון בהצלחה מבלי להשתמש כלל בקוד זדוני, באמצעות הרצה של כלי בדיקת חדירה לגיטימיים בלבד. במקרים אותם חקרו מומחי מעבדת קספרסקי, נראה כי GCMAN השתמשו ב- Putty, VNC ו- Meterpreter כדי להתקדם לרוחב הרשת עד שהגיעו למכונה שיכולה לשמש להעברת כסף לשירותי מטבע אלקטרוניים, מבלי להדליק התרעה במערכות של בנקים אחרים.

בהתקפה אחת שזוהתה על ידי מעבדת קספרסקי, עברייני הסייבר שהו ברשת במשך שנה וחצי עד שהפעילו את הגניבה. הכסף הועבר בסכומים של כ- 200 דולר, הגבול העליון להעברת כספים אנונימית ברוסיה. בכל דקה, תזמון CRON הפעיל קוד זדוני וסכום נוסף הועבר לחשבונות מטבע אלקטרוניים השייכים ל"בלדר כסף".

פקודות ההעברה נשלחו ישירות לשער גישה, ולא הוצגו באף מערכת פנימית של הבנק.

ואחרון, Carbanak 2.0, מסמן את חזרתו של איום הריגול Carabank, עם אותם כלים וטכניקות אבל עם פרופיל קורבן שונה ודרכים חדשניות לחילוץ הכסף. ב- 2015, המטרות של Carbanak 2.0 לא היו בנקים בלבד, אלא מחלקות תקציב וחשבונות בכל ארגון בעל עניין. במקרה אחד שסקרה מעבדת קספרסקי, קבוצת Carbanak 2.0 קיבלה גישה לארגון פיננסי ומשם המשיכה כדי לשנות את הרשאות הבעלות עבור חברה גדולה. המידע שונה כדי ש"בלדר  הכסף" יירשם כבעל מניות של החברה, תוך הצגת נתוני הזיהוי שלו.

"התקפות של גופים פיננסים שנחשפו ב- 2015 מצביעות על מגמה מדאיגה במסגרתה עברייני סייבר מאמצים מתקפות בסגנון ריגול. כנופיית Carbanak הייתה רק הסנונית הראשונה: עברייני סייבר לומדים כעת במהירות כיצד להשתמש בטכניקות חדשות בפעילות שלהם, ואנו רואים רבים יותר נעים מתקיפת משתמשים לתקיפה ישירה של בנקים. ההיגיון שלהם פשוט: שם נמצא הכסף", אומר סרגיי גולבאנוב. "אנו מתכוונים להציג כיצד והיכן גורמי האיום עלולים לפגוע כדי לקחת את הכסף שלך. אני מצפה כי לאחר ששמעת על התקפות GCMAN, תלך ותבדוק כיצד שרתי הבנק המקוון שלך מוגנים. כחלק מחקירת Carbanak, אנו ממליצים להגן על בסיס הנתונים המכיל מידע לגבי הבעלים של החשבונות, ולא רק על המאזן שלהם".

מוצרי מעבדת קספרסקי מזהים בהצלחה וחוסמים את הקוד הזדוני הנמצא בשימוש Carbanak 2.0, Metel ו- GCMAN. החברה גם מפרסמת מדדים חיוניים לגבי סיכון (IOC) ונתונים נוספים, כדי לסייע לארגונים לחפש עקבות של קבוצות התקפה אלה ברשתות הארגוניות. למידע נוסף.

אנו קוראים לכל הארגונים לסרוק בזהירות את הרשת שלהם אחר נוכחות של Carbanak, Metel ו- GCMAN. אם התרחש זיהוי, יש לנקות את המערכות ולדווח על החדירה לרשויות אכיפת החוק.