Connect with us

מתקפות סייבר

תוקפי סייבר שותלים רמזים מטעים כדי להונות חוקרי אבטחה

מתקפות סייבר

מחקר סופוס - שני שלישים מארגוני הבריאות נפגעו מתוכנות כופר, שיא של ארבע שנים

מתקפות סייבר

זן חדש של תוכנות כופר מותאמות אישית תוקף עסקים קטנים ובינוניים ברחבי העולם

מתקפות סייבר

פורטינט משתפת פעולה עם חברות אבטחת מידע ישראליות בתחום ה-OT כדי להרחיב את ההגנה על תשתיות קריטיות

מתקפות סייבר

דוח סופוס - קבוצות כופר משתמשות בנתונים גנובים כדי להגביר את הלחץ על קורבנות שמסרבים לשלם

מתקפות סייבר

כך תיהנו מהמשחקים האולימפיים מבלי ליפול קורבן להונאות ומתקפות סייבר

מתקפות סייבר

מחקר של פורטינט: פושעי הסייבר מתכוננים מזה למעלה משנה לאולימפיאדה בפריז

מתקפות סייבר

Trend Micro חושפת יכולות חדשות לניהול סיכוני סייבר המאפשרות לצפות ולמנוע פרצות והתקפות

מתקפות סייבר

מחקר CYFOX – נחשפה גרסה חדשה ומסוכנת של Agent Tesla שמטרתה לגנוב מידע רגיש ממשתמשים

מתקפות סייבר

הפריצה ל- TeamViewer: מציגה את הסיכונים בתוכנות גישה מרחוק

מתקפות סייבר

תוקפי סייבר שותלים רמזים מטעים כדי להונות חוקרי אבטחה

פורסם

לפני 8 שנים

ב-

מחברי הדוח: Brian Bartholomew ו- Juan Andrés Guerrero-Saade

מחברי הדוח:
Brian Bartholomew ו- Juan Andrés Guerrero-Saade

זהותה של הקבוצה העומדת מאחורי מתקפת סייבר ממוקדת היא אחת השאלות המרכזיות שכולם רוצים לענות עליה, למרות העובדה שקשה, אם לא בלתי אפשרי, להצביע במדויק על הגורם היוזם. כדי להציג את המורכבות הגוברת וחוסר הוודאות שבניסיון לבצע ייחוס של מתקפות במסגרת מודיעין האיומים, פרסמו שני חוקרי מעבדת קספרסקי דוח החושף עד כמה התקדמו שחקני האיום בשימוש ברמזים מטעים כדי להונות את הקורבנות ואת חוקרי האבטחה.

להלן המאפיינים המרכזיים שמשמשים את חוקרי האבטחה כדי לקבוע את מקור המתקפה, והסבר כיצד מספר  שחקני איום בלתי מוכרים מבצעים בהם מניפולציות:

חותמות זמן – Timestamps

קבצי קוד זדוני מכילים חותמות זמן המתעדות את הזמן בו נסגרו הקבצים. אם נאספות מספיק דוגמיות כאלו,  ניתן לקבוע את שעות העבודה של המפתחים, והדבר יכול להצביע על אזור הזמן הכללי של הפעילות שלהם. עם זאת, חותמות זמן שכאלה קל מאוד לשנות.

סימני שפה

קבצי קוד זדוני כוללים מחרוזות וכתובות הפניה ל- Debug, ואלה יכולים להסגיר פרטים לגבי כותבי הקוד. הרמז הברור ביותר הוא השפה או השפות שהיו בשימוש ורמת הבקיאות בהן. בנוסף, כתובות הפניה של Debug יכולות לחשוף שמות משתמש וכן שיטות למתן שמות פנימיים של קמפיינים או פרויקטים. בנוסף, מסמכי פישינג עלולים לשאת מטה-דאטה אשר יכול בטעות לשמור פרטים המצביעים על המחשב האמיתי של הכותב.

Advertisement

עם זאת, השחקנים בתחום יכולים לשנות בקלות סממני שפה כדי לבלבל את החוקרים. סממני שפה מטעים בקוד הזדוני של Cloud Atlas כוללים מחרוזות בערבית בגרסת הבלאקברי, סימנים בהודית בגרסת האנדרואיד ואת המילים johnClerk בכתובת ההפניה לפרויקט בגרסת ה-  iOS – זאת בעוד שרבים חושדים כי הקבוצה היא בכלל בעלת קשר למזרח אירופה. הקוד הזדוני ששימש את השחקן Wild Neutron כולל מחרוזות שפה גם ברומנית וגם ברוסית.

תשתית וקישורים לשרתי השליטה

מציאת שרתי הפיקוד והשליטה המשמשים את התוקפים דומה למציאת כתובת הבית שלהם. תשתית פיקוד ושליטה יכולה להיות יקרה וקשה לתחזוקה, כך שאפילו לתוקפים בעלי משאבים רבים יש נטייה לעשות שימוש חוזר בשרתי פיקוד ושליטה או בתשתית פישינג. קישוריות לשרתים האחוריים יכולה לספק פרטים לגבי התוקפים, במידה והם לא הצליחו לבצע אנונימיזציה לקישורי האינטרנט שלהם כאשר הם מחלצים מידע ממחשב נגוע או שרת דואר, או כאשר הם מכינים את הבמה לשרת פישינג או מבצעים כניסה לשרת פרוץ.

עם זאת, לעיתים "כשל" כזה הוא מכוון: תוקפי Cloud Atlas ניסו לבלבל את החוקרים באמצעות שימוש בכתובות IP שמקורן בדרום קוריאה.

ערכות פריצה: קוד זדוני, קוד, סיסמאות, כלי פריצה

Advertisement

למרות שחלק מהשחקנים מסתמכים כעת על ערכות פריצה הזמינות לרכישה, רבים עדיין מעדיפים לבנות בעצמם את הדלתות האחוריות, כלים לתנועה רוחבית וכלי ניצול פרצות, והם שומרים עליהם בקנאות. לכן ההופעה של משפחה מסוימת של קוד זדוני יכולה לגרום לחוקרים להתביית על שחקן מסוים.

הגורם שמאחורי Turla החליט לנצל את ההשערה הזו כאשר הוא מצא את עצמו מכותר בתוך מערכת נגועה. במקום למשוך את הקוד הזדוני שלו, הוא התקין קוד זדוני סיני נדיר שיצר קשר עם תשתית הממוקמת בבייג'ין – שאינה קשורה כלל ל- Turla. בעוד צוות התגובה של הקורבן רדף אחר קוד הפתיון הזדוני, Turla הסירו בשקט את הקוד הזדוני שלהם ומחקו כל זכר ממנו במערכות הקורבן.

קורבנות המטרה

זהות מטרות התקיפה יכולות לספק כיוון נוסף לגבי זהות התוקף, אבל יצירת קשר מדויק דורשת מיומנות גבוהה של ניתוח ופרשנות. במקרה של Wild Neutron, לדוגמא, רשימת הקורבנות הייתה כה מגוונת שהיא רק הקשתה על ייחוס.

יותר מכך, חלק מגורמי האיום מנצלים את הרצון הרב של הציבור למצוא קשר ישיר בין התוקפים והמטרות שלהם כשהם פועלים במסווה של קבוצות האקטיביסטים. זה מה ש-Lazarus group ניסתה לעשות באמצעות הצגתה כ"מגני השלום" כאשר תקפה את סוני ב- 2014. רבים מאמינים כי שחקן האיום הידוע כ- Sofacy השתמש בטקטיקה דומה, כשהוא מתחזה למספר קבוצות האקטיביסטים.

Advertisement

לסיום, אך לא פחות חשוב, לעיתים תוקפים ינסו להטיל את האשמה על שחקן אחר. גישה זו אומצה על ידי השחקן שעדיין לא זוהה TigerMilk, אשר חתם את הדלת האחורית שיצר באמצעות אותה תעודה גנובה ששימשה את סטוקסנט.

"ייחוס של התקפות ממוקדות לתוקף הוא דבר מורכב, לא אמין וסובייקטיבי – והשחקנים בתחום מגבירים את הטיפול במאפיינים שהחוקרים מסתמכים עליהם – ובכך מטשטשים אף יותר את העקבות. אנו מאמינים כי לעיתים קרובות ייחוס מדויק הוא כמעט בלתי אפשרי. אך למודיעין איומים יש ערך עמוק ומדיד הרבה מעבר לשאלה 'מי עשה את זה?' קיים צורך להבין מי הם טורפי העל במערכת הגלובלית של הקוד הזדוני, ואנו מספקים מודיעין עוצמתי המאפשר פעולה לארגונים המעוניינים בכך", אמר בריאן ברת'ולומיו, חוקר אבטחה בכיר במעבדת קספרסקי.

לדוח המלא

Related Topics:
Continue Reading