תוקפי סיבר פרצו לארגונים ב-40 מדינות, כולל ישראל

יום א', 12 בפברואר 2017

תוקפי סייבר פרצו לארגונים ב- 40 מדינות, כולל ישראל, באמצעות קוד זדוני חמקני

בנקים, חברות תקשורת וארגונים ממשלתיים ברחבי העולם, כולל בישראל, הם המטרות המרכזיות למתקפה; החשודים המיידים הם קבוצות GCMAN  ו-Carbanakהמוכרות

מומחי מעבדת קספרסקי חשפו סדרה של התקפות ממוקדות "בלתי נראות" אשר משתמשות בתוכנה לגיטימית: כלי בדיקות חדירה וניהול הזמינים לציבור, וכן בסביבת PowerShellלאוטומציה של משימות במערכת חלונות – ללא הכנסת קבצי קוד זדוני אל הדיסק הקשיח, אלא באמצעות החבאתם בזיכרון בלבד. גישה משולבת זו מסייעת למנוע זיהוי על ידי טכנולוגיות של "רשימות לבנות", והיא מותירה את חוקרי הפורנזיקה כמעט ללא מצאים או דוגמיות של קוד זדוני שניתן לעבוד איתם. התוקפים נשארים בסביבה רק למשך הזמן הנדרש כדי לאסוף מידע חיוני, לפני שהם מוחקים את העקבות שלהם מהמערכת באתחול הבא.

בסוף 2016, יצרו מספר בנקים קשר עם חוקרי מעבדת קספרסקי אשר מצאו בשרתי הבנקים תוכנה לבדיקות חדירה בשם  Meterpreter, שכבר משמשת למטרות זדוניות, ואשר לא הייתה אמורה להימצא שם. מעבדת קספרסקי חשפה כי קוד Meterpreterשולב עם מספר סקריפטים לגיטימיים של PowerShellוכלים אחרים. השילוב בין הכלים הותאם כדי ליצור קוד זדוני אשר יכול להתחבא בזיכרון ולאסוף סיסמאות של מנהלי מערכת מבלי להתגלות, כך שהתוקפים יוכלו לשלוט מרחוק במערכות הקורבן. נראה כי מטרת העל הייתה לגשת לתהליכים פיננסים.

במהלך הבדיקה גילתה מעבדת קספרסקי כי התקפות אלה התרחשו בהיקף נרחב: הן פגעו ביותר מ- 140 רשתות ארגוניות במגוון מגזרים עסקיים, כשרוב הקורבנות ממוקמים בארה"ב, צרפת, אקוודור, קניה, בריטניה ורוסיה, וגם בישראל. בסך הכל, נרשמו הדבקות ב- 40 מדינות.