חוקרי טרנד מיקרו זיהו מתקפה חדשה נגד ממשלות שמקורה בסין

מדובר במתקפה מכוונת ומתמשכת מסוג Advanced Persistent Threats אשר מכונה בפי מומחי טרנד מיקרו SafeNet, ללא קשר לחברה באותו השם. המתקפה, שמקורה ככל הנראה בפעילות מחתרתית בסין, פוגעת בקורבנות פוטנציאליים באמצעות שליחת דואר פישינג ממוקד (Spear phishing), הכוללות קבצי נוזקה הרלוונטיות ומותאמות למאפייני הנמען וכך מפתות אותו לפתוח אותם – טכניקה המוכרת מאוד במתקפות מסוג APT . החקירה העלתה כי שתי קבוצות של שרתי פיקוד ושליטה (C&C) שימשו את שתי המתקפות שזוהו עד כה מטרות שונות תוך שימוש בנוזקות זהות.

מתקפה אחת, נוקטת בשימוש ב – spear phishing הכולל תוכן הקשור לטיבט ומונגוליה ונושאות קבצי וורד המנצלות את הפגיעות של הטלאים (Patch) של מיקרוסופט שתוקנו בחודש אפריל 2012. ניטור של קבצים בדיווחי הלוג חשף כתובות IP של 243 מ – 11 מדינות אולם החוקרים מצאו כי רק שלושה קורבנות היו פעילים בעת החקירה עם כתובותIP  ממונגוליה וסודן. לעומת זאת, מבדיקת קבצי הלוג במתקפה השנייה עולה כי היקף הפגיעה עמד על 11,563 כתובות IP שהותקפו אולם להערכת המומחים מדובר במספר נמוך מכך. רוב המחשבים הנפגעים הם מהודו, ארה"ב, סין, פקיסטן, הפיליפינים ורוסיה.

לפי המומחים, מטרת המתקפות היא לגנוב מידע מהמחשבים הנגועים אך הפונקציונליות של המתקפות יכולה להיות אף גדולה יותר באמצעות הוספת מודולים לנוזקות. החוקרים איתרו רכיבי plug-in על גבי שרתי הפיקוד והשליטה כמו גם תוכנות off-the shelf המיועדות לחלץ סיסמאות מתוך דפדפני מוזילה ופיירפוקס כמו גם פרוטוקולים של אישורי דסקטופ מרוחקים השמורים על גבי תוכנת windows.

"בעוד שקביעת זהותם של התוקפים והכוונה העומדת מאחורי המתקפות נותרת לעיתים קשה לקבוע, ניתן לומר כי מתקפות ה – SafeNet פותחו על ידי מהנדס תוכנה מקצועי אשר עלול להיות קשור ככל הנראה לפעילות מחתרתית בסין", כותבים המומחים בדוח. "פעילות זו מלמדת כי הוא למד באוניברסיטה טכנולוגית בולטת במדינה זו ומנצל את הנגישות שלו למאגרי קודי המקור של חברות האינטרנט".

 נגד איומי APT  מסוג זה, מציעה טרנד מיקרו לארגונים את מערכת Deep Discovery  שפותחה  במטרה להתמודד עם מתקפות אלה. המערכת מספקת מעטפת הגנה רחבה, רב-שכבתית המבוססת על ניטור ודיווח בזמן אמת, אמצעי ניתוח לאיתור זהות התוקף ומתן מענה תוך שימוש בטכניקות מתקדמות דוגמת sandboxing.