מתקפות סייבר
לפחות 130 ארגונים נפלו למתקפת הריגול Ghoul
בקצרה: Ghoul, שנקרא על שם שד מיתולוגי, ממוקד באיסוף מודיעין עסקי ומכירתו.
אמצעי ההתקפה: כלי הריגול המסחרי HawkEye
ביוני 2016, חוקרי מעבדת קספרסקי זיהו גל של הודעות פישינג ממוקדות עם קבצים זדוניים מצורפים. הודעות אלה נשלחו בעיקר למנהלים בכירים ולרמות ביניים במספר חברות. ההודעות שנשלחו על ידי התוקפים נראו כאילו הן מגיעות מבנק באיחוד האמירויות: הן התחזו להצעת תשלום מהבנק עם מסמכי SWIFT מצורפים, אבל במציאות קובץ הארכיב המצורף הכיל קוד זדוני. חקירה נוספת שקיימו חוקרי מעבדת קספרסקי הראתה כי קמפיין הפישינג הזדוני הממוקד כנראה אורגן על ידי קבוצת עברייני סייבר שכבר הייתה במעקב של חוקרי החברה מאז מרץ 2015. נראה היה כי התקפות חודש יוני היו חלק ממבצע חדש שערכה הקבוצה.
בסך הכל למעלה מ- 130 ארגונים ב- 30 מדינות, כולל ספרד, פקיסטן, איחוד האמירויות, פקיסטן, הודו, מצרים, בריטניה, גרמניה וערב הסעודית, נמצאים ברשימת הקורבנות של הקבוצה. כל החברות שהותקפו מחזיקות מידע יקר ערך אשר ניתן למכור בשוק השחור – רווח כספי הוא המניע המרכזי של התוקפים שמאחורי Guoul. המבצע שקיבל את שמו על ידי חוקרי מעבדת קספרסקי הוא רק אחד ממספר קמפיינים שלכאורה נשלטים על ידי אותה הקבוצה. הקבוצה עדיין פעילה.
הקובץ הזדוני שצורף לקמפיין מבוסס על כלי הריגול המסחרי HawkEye אשר נמכר באופן חופשי ב- Darkweb, ומספק לתוקפים כלים שונים. לאחר ההתקנה הוא אוסף נתונים מעניינים ממחשבי הקורבן, כולל:
- הקשות מקלדת
- נתוני קליפבורד
- הרשאות לשרת FTP
- נתוני חשבון מדפדפנים
- נתוני חשבון מתוכנות דואר אלקטרוני (אאוטלוק, חלונות לייב מייל ועוד)
- מידע אודות אפליקציות מותקנות (מיקרוסופט אופיס)
לאחר מכן הנתונים נשלחים לשרתי הפיקוד והשליטה של הקבוצה. בהתבסס על נתונים שהתקבלו מ"בולענים" (Sinkhole) של חלק משרתי הפיקוד והשליטה, רוב הקורבנות הם ארגונים העובדים במגזר התעשייתי או ההנדסי. ארגונים אחרים קשורים למגזרי שוק כדוגמת ספנות, פארמה, ייצור, חברות סחר, מוסדות השכלה וגופים נוספים.
"בפולקלור העתיק, Ghoul היא רוח רעה שמיחסים לה אכילת בשר אדם ורדיפה אחר ילדים, במקור היא שד מסופוטמי. כיום, המונח Ghoul משמש לעיתים כדי לתאר אנשים חומרניים או תאווי בצע. זהו תיאור די מדויק של הקבוצה שמאחורי מבצע זה. המוטיבציה המרכזית שלה היא רווח פיננסי המגיע ממכירה של נכסים אינטלקטואליים או ממודיעין עסקי, או מהתקפה על חשבונות בנק של הקורבנות. בשונה משחקנים מגובי מדינה, שהמטרות שלהם נבחרות בקפידה, קבוצה זו והדומות לה עלולות לתקוף כל חברה. למרות שהם משתמשים בכלים זדוניים פשוטים יחסית, ההתקפות שלהם יעילות מאוד. לכן, חברות שאינן ערוכות כדי לזהות מתקפות שכאלה כנראה יסבלו מהן", אמר מוחמד אמין חסיבני, מומחה אבטחה, מעבדת קספרסקי
