מתקפות סייבר
סימטריה חושפת את מתקפת הריגול האסייתית Patchwork
המקור: הודו
אמצעי חדירה: קבצי פאוור פוינט נגועים
סוג מתקפה: APT
המטרה: צבאית, בטחונית, פוליטית
אמצעי העצירה: הונאה דינמית של סימטריה
הייחוד: העתקה של קוד מפורומים
חברת אבטחת המידע הישראלית סימטריה (Cymmetria) חושפת היום את מתקפת הריגול Patchwork, ככל הנראה ממקור הודי, על שורה של 2500 מטרות בארגונים גדולים וגופי ממשל ברחבי העולם, בדגש על גורמים שעוסקים באזור דרום מזרח אסיה ובמדינות בסביבת דרום מזרח אסיה. מטרות התקיפה המרכזיות היו מטרות מדיניות והתוקפים פועלים ככל הנראה מדצמבר 2015.
המתקפה זוהתה בארגון ממשלתי מערבי, והמטרות שהודבקו זוהו גם בארה"ב, אירופה ובמזרח התיכון. לא ידוע על נפגעים ישראלים. הרושם הוא שהמטרות שנבחרו בשל עיסוקם במשימות צבאיות/בטחוניות ופוליטיות. רבות מהמטרות היו ארגוני ממשל וארגונים הקשורים לממשלות.
מה שמייחד את החשיפה הזאת במיוחד היא העובדה שזוהי הפעם הראשונה שמתקפת APT אותרה באמצעות פלטפורמת Cyber Deception וכי חלק נכבד מחקירה התבצע באמצעות שימוש בכלי הונאה דינמי (Cyber Deception) של חברת סימטריה. Cyber Deception היא טכנולוגיית סייבר חדשה אשר מתמקדת בפסיכולוגיה של התוקף עצמו ולא בזיהוי תקיפות המשתנות תדיר, כך שבאמצעות טכנולוגיות וירטואליזציה, כשתוקף נכנס לרשת ומחפש מידע שעל בסיסו יוכל להתפשט למחשבים נוספים ולמצוא את יעדו, הוא מובל למלכודות הרחק מהמידע הרגיש שחיפש, אל סביבה מנוטרת ונשלטת, מה שמאפשר להחרים את כלי התקיפה בהם השתמש ולסכל את ההתקפה. בעיני התוקף, הסביבה המנוטרת היא האמיתית.
לדברי גדי עברון, מייסד ומנכ"ל סימטריה, "באמצעות פלטפורמת Cyber Deception של סימטריה למדנו את התוקף וגרמנו לו ליפול בפח ולהראות לנו מה הוא עושה ומהם הכלים וטכניקות העבודה שבהם הוא משתמש. התוקף עקב אחר פרטי המידע שהשארנו לו, התחבר למערכת המלכודות שבנינו ובכך למעשה אפשר לנו לזהות את כלי התקיפה (״נוזקות השלב השני״) שהוא נזהר לא להשתמש בהן עד שלב מאוחר יותר שבו הוא כבר מבוסס ברשת ורוצה להחזיק בה את ראש הגשר לאורך זמן".
ההיקף הנרחב של קמפיין הריגול ומספר הקורבנות הגדול שהותקפו אמור היה לשקף יכולת טכנית משמעותית של התוקפים אשר אפשרה להם להרים מבצע רחב היקף עם כ-2500 מטרות שהודבקו. עם זאת, כאשר מנתחים את כלי התקיפה, מגלים כי היכולת הטכנולוגית של התוקפים נמוכה יחסית להצלחה הנכבדת שלהם.
מהעדויות שאספו חוקרי סימטריה עולה כי וקטור ההתקפה היה מתקפת דיוג שבמסגרתה נשלחו למטרות מיילים עם מצגת פאואר-פוינט נגועה. עוד עולה מהחקירה כי התוקפים פנו ככל הנראה לפורומים, אתרים כמו GitHub, וה-Dark Web, והעתיקו קטעי קוד כדי לבנות את הסוס הטרויאני שלהם. הדבר מצטרף לשורה של עדויות המראות כי ניתן כיום להרים התקפות מסובכות ברמה מדינתית באמצעות יכולות טכנולוגיות פשוטות. סימטריה שחררה מחקר דומה לפני כשנה שבו הראתה כיצד תוקף ממקור איראני (״Rocket Kitten״) השתמש בכלי מדף כדי להקים את יכולת התקיפה שלו. עבודת הטלאים שעשו התוקפים היא הסיבה לשם שניתן למתקפה – APT Patchwork.
לא ניתן להוציא מכלל אפשרות כי התוקפים בנו את מערך הכלים שלהם כך בכוונה תחילה, ככלים שניתן ״לזרוק״ במקרה שבו הם נתפסים. אבל מאחר וגם כלי השלב השני שלהם הם כאלה, הסיכוי לכך נמוך.
