איומים קיברנטיים במזרח התיכון

בסוף אוגוסט 2016 פורסם מחקר של PwC Middle East לפיו קיימת בקרב חברות במזרח התיכון "תחושה מזוייפת של בטחון". למרות השקעה בטכנולוגיות ואף בביטוח קיברנטי, אין השקעה מתאימה בכח אדם, תהליכים ומשילות ליצירת אבטחה אמיתית.

לטענת הדוח, עסקים במזרח התיכון ספגו הפסדים גדולים יותר מבכל אזור אחר ברחבי העולם במהלך השנה החולפת בשל ארועים קיברנטיים: 85% מהמשיבים באזור, לעומת הממוצע העולמי העומד על 79%. בנוסף, כ-18% מהמשיבים במחקר טענו כי חוו למעלה מ-5,000 התקפות בהשוואה ל-9% בממוצע העולמי. נתון המציב את האזור גבוה מיתר אזורי העולם בתחום זה, כאשר ערב הסעודית מהווה "יעד חם" עבור פושעים קיברנטיים בשל מאפייניה הגאוגרפיים, הפוליטיים והכלכליים.

ב-16 באוקטובר 2016 פורסם כי ממחקר של חברת Trend Micro עולה שהמזרח התיכון רושם עליה מתמדת בהיקפי האיומים, תוך גידול של 55% ברמת האיום מידי רבעון במהלך השנה החולפת.

  • נוזקות – החברה איתרה בממוצע 91,965 נוזקות בחודש באיחוד האמירויות, ולאחריה ערב הסעודית (87,876), קטאר (21,293) ועומאן (10,173).
  • כופרה – בערב הסעודית נרשם השיעור הגבוה ביותר של מתקפות מסוג כופרה באזור (72%) ולאחריה איחוד האמירויות (15%) ועומאן (2.5%).
  • נוזקות בנקאיות – החברה מאתרת 611 נוזקות בנקאיות בממוצע מידי חודש, גם בתחום זה מובילה ערב הסעודית עם 213 נוזקות מידי חודש, לאחריה איחוד האמירויות (124).
  • אפליקציות זדוניות – החברה מאתרת בממוצע 225,018 אפליקציות שכאלה מידי חודש הכוללות 6,856 וירוסים שונים. בערב הסעודית נרשם המספר הגבוה ביותר של אפליקציות זדוניות שכאלה (51,176 הורדות מידי חודש המכילות בממוצע 1,346 וירוסים) ולאחר מכן איחוד האמירויות (49,937 הורדות מידי חודש המכילות בממוצע 1,227 וירוסים).

כעבור שבועיים פורסם מחקר של חברת Gartner לפיו ההוצאה על טכנולוגיית אבטחת מידע במזרח התיכון ובצפון אפריקה צמחה ב-8% משנת 2015 ועתידה להגיע לכדי 1.3 מיליארד דולר בשנת 2016. זאת בשל עליה במודעות לנושא הנובעת מהשפעתם של ארועי אבטחת מידע על ארגונים אשר אילצו אותם לשים דגש על נושאי גילוי ותגובה.

תפוצת הנוזקות עבור מכשירי ATMs

ב12 אפריל פורסם מחקר משותף של חברת Trend Micro ומרכז הפשיעה הקיברנטית (EC3) של האירופול העוסק בגידול בשימוש בנוזקות כלפי ATMs.

המחקר בוחן את האיום וסוגי הנוזקות הפעילות נגד למעלה משלושה מיליון מכשירים הקיימים ברחבי העולם, מהם נמשך בממוצע סכום של כ8.6 מיליארד אירו מידי שנה. אלו מהווים יעד ברור ואטרקטיבי למתקפות קיברנטיות, הואיל וגנבת כסף ממכשירים אלה קלה ובטוחה יותר באמצעות שימוש בנוזקות, מאשר באמצעים פיזיים כבעבר.

המחקר מראה כי חל גידול של 15% בתקיפות הונאה באמצעות נוזקות בין השנים 2014 ו2015 נגד מכשירים אלו, תופעה המצויה בראשיתה וצפויה לגדול, כאשר שלוש המדינות מחוץ לאירופה בהן נרשמו ההפסדים הגדולים ביותר הן ארה"ב, אינדונזיה והפיליפינים.

מהמחקר עולה כי מספר רכיבים תורמים למגמה זו;

  • שימוש במערכות הפעלה שפג תוקפן, דוגמת Windows XP, אשר לא ניתן עוד להתקין בהן עדכוני אבטחה.
  • העליה בתחכום הפושעים אשר בוחרים בשיטות פעולה דיגיטליות הואיל והן מוסוות ופחות מסוכנות.
  • יצרני הATMs המאפשרים מנגנוני ביניים (eXtensions for Financial Services (XFS) middleware) המספקים APIs לתקשורת עם מכשירים נלווים.
  • עוד בחן המחקר את הנוזקות המרכזיות הפעילות בתחום, לצד ההיבטים הגאוגרפיים של תפוצתן, וגילה כי העדר יישום צעדי אבטחה בבנקים מסחריים באמריקה הלטינית ובמזרח אירופה, הביא לחשיפתם לפעולות של פושעים קיברנטיים, כמו גם ייצוא של שיטות הפעולה לאזורים נוספים.
  • כל משפחת נוזקות נבדלת בשני רכיבים מרכזיים; סוג יצרן הATM ויכולות הנוזקה (הונאת המכשיר כך שיקבל כרטיסים ומספרי PIN שונים, או בפועל לשם משיכת כספים), אולם המשותף להן הוא הצורך להתקינן ידנית באמצעים חיצוניים. עם זאת נטען כי טרם נצפה סחר בנוזקות עבור ATMs.
  • נתונים אלו מצטרפים למחקר של  European ATM Security Team (EAST)אשר התפרסם באותו היום, בדבר הפסדים בשל הונאות שונות הקשורות בATMs ועל חלקן הנמוך יחסית של אלו הפיזיות מכלל ההונאות;

1

מנגד, עולה מהפרסום כי בשנת 2015 נרשמו 15 מקרים של הונאות מכשרי ATM באמצעות נוזקות, בהשוואה ל51 שנה קודם לכן, לצד ירידה בהיקף הנזק מ1.23 מיליון אירו לכדי 743 אלף אירו.

תקיפות נגד אתרי הכרויות

בחודש יולי התבשרנו על פריצה ולאחר מכן הדלפת ענק ממחשבי אתר ההכרויות אשלי מדיסון, עוד קודם לכן, בחודש מאי פורסם על ארוע דומה, אך קטן יותר בהקפו, במהלכו הודלפו 3.9 מיליון רשומות מאתר ההכרויות FriendFinder, ב-3 ספטמבר פורסם כי חוקרי אבטחת מידע של חברת Malwarebytes גילו נוזקה בפרסומות שבגרסה הבריטית של אתר ההכרויות Match.com.

מודעות אלה מופיעות בעומדים באתר באמצעות רשת המעבירה תכנים לאתר זה ולאחרים ומנתבות את אלו שלחצו עליהן באמצעות סדרה של קישורים לאתר המוטמע בקוד הבודק את מידת העדכניות של רכיבי תוכנה שונים אצל המשתמש. במידה ונוזקה זו מגלה באגים בדפדפן או ברכיבים שונים בו היא מנצלת זאת.

עם הפריצה ניתן היה לתקוף את מחשב היעד בדרכים שונות, אולם השרתים עצמם לא נפרצו. חברת המחקר מסרה כי לפי שעה לא ברור כמה נפלו קורבן לנוזקה המהווה ככל הנראה סוג של כופרה.

החברה עצמה הודיעה כי היא מודעת למקרה ופועלת לנקות את האתר.

תופעה זו של מתקפת Malvertising תועדה על ידי חברת מחקר זו בתחילת חודש אוגוסט, הפעם נגד מודעות באתר Yahoo!.

Shifu: נוזקה חדשה התוקפת בנקים ביפן

ב-31 באוגוסט פורסם על ידי חוקרי אבטחה של IBM דבר קיומה של נוזקה חדשה בשם Shifu, אשר ככל הנראה היתה פעילה החל מאפריל 2015. לדברי החוקרים הנוזקה פגעה ב-14 בנקים ביפן ובפלטפורמות נבחרות של בנקאות מקוונת ברחבי אירופה, אולם לפי שעה רק ביפן נרשמו התקפות פעילות.

Fig12

נוזקה זו נחשבת לסוס טרויאני מתוחכם ביותר לתחום הבנקאות וחלקים ממנה נלקחו מסוסים טרויאניים בנקאיים אחרים ונראה כי השילוב הפנימי הוא תוצר של מפתחים בעלי ידע ונסיון בנוזקות בנקאיות אחרות לכדי שילוב יכולות מנוזקות שונות בכלי זה.

עוד עולה כי הנוזקה מגיעה בתצורה בסיסית, אליה מתווספים רכיבים נוספים משעה שהיא יוצרת קשר עם שרת הפיקוד והשליטה.

על מנת שסוס טרויאני בנקאי שכזה יוגדר כמתקדם, יש צורך כי יהיו לו שורה של מנגנוני זמן אמת לגניבה ויותר מדרך אחת לשליטה בנקודת הקצה שהודבקה, דברים המאפיינים נוזקה זו אשר גונבת קשת רחבה של מידעים בה משתמש הקורבן לצרכי זיהוי באופנים שונים. אלו מאפשרים לתוקפים לעשות שימוש בפרטי הגישה החסויים של הקורבן על מנת להשתלט על חשבונותיו הבנקאיים בקרב ספקי שירות שונים.

אולם לצד רצונם של התוקפים לבצע הונאות על חשבונות הבנק של הקורבנות, מטרתם גם כרטיסי אשראי שונים, זאת באמצעות סריקה למציאת עמדות מכירה (POS). במידה והנוזקה איתרה אחת שכזו, היא אוספת את פרטי כרטיסי האשראי שבה.

כמו כן היא מחפשת אחר חתימות דיגיטליות המופקות על ידי רשויות רלבנטיות עבור משתמשים בנקאיים במיוחד באיטליה, כדי לבצע הונאות בנקאיות המבוססות חתימות דיגיטליות תקפות. לצד נסיון לתקוף אפליקציות בנקאיות מאשר אתרים ספציפיים, כך הופכת התקיפה לכללית יותר ומתאימה למטרות רבות יותר.

עם זאת נמסר כי לעיתים הוחלף בשלמותו עמוד הבית של הבנק על ידי הנוזקה, זאת לשם איסוף הנתונים של המשתמשים לשם שימוש בהם מאוחר יותר.

אולם נראה כי למתכנני הנוזקה אין כוונה לשתף אחרים מחוץ לכנופיה בשללם, ניתוחה העלה כי עם התקנתה מופעלת מעין תוכנת אנטי וירוס המונעת התקנת כל נוזקה אחרת באמצעות עצירת התקנה של כל קובץ חשוד. נטען כי זו הפעם הראשונה שמתגלה נוזקה אשר לה כללים לטיפול בקבצים חשודים, על מנת לשמור את נקודת הקצה בשליטה הבלעדית של התוקפים מרגע ההדבקה.

לעניין מקור הנוזקה, מצאו בה החוקרים הערות בשפה הרוסית, כך שמפתחיה הם או דוברי רוסית או תושבי המדינות של ברה"מ לשעבר, אולם באותה המידה יתכן והדבר נועד לערפל את המקור האמיתי של המפתחים.

התקפות פישינג על ארגונים בהודו

ב-22 באוגוסט פורסם ב-The New Indian Express כי מספר קבוצות APT, מרביתן מסין, מבצעות תקיפות בעיקר נגד ארגוני ממשל, דיפלומטיה, מדע, חינוך, חלל והגנה.

לטענת חברת FireEye, מסע התקיפה מתבצע לשם השגת מידע על מחלוקות גבול מתמשכות ונושאים דיפלומטיים נוספים. לדבריה זוהו 300 קבוצות APT, מהן חלק תוקפות את הודו, כאשר "להבדיל מפריצה לאתרי אינטרנט, אשר אינה פעולה מתוחכמת, קבוצות ה-APT סביר להניח כי הן ממומנות היטב על ידי ממשלות, תוך פגיעה באנשים באמצעות גישה למידע רב ערך".

במסגרת התקפות שכאלה נשלחו הודעות דוא"ל ולהן מצורפים קבצי Word הנושאים קוד הנקרא "WATERMAIN", אשר יוצר דלת אחורית במחשב הקורבן ובכך מאפשר לחברי הקבוצה גישה למידע במערכות השונות.

אחת מהקבוצות, APT 30, עשתה בכך שימוש נגד גורמים שונים משנת 2011, כאשר 70 אחוז מהם היו מהודו, תוך חשד כי זוהי קבוצה הנתמכת על ידי סין.

Dyre – נוזקה מתוחכמת התוקפת בנקים ברחבי אירופה

ב-14 ביולי פורסם מחקר של חברת IBM בדבר סוס טרויאני בשם Dyre אשר תקף עד כה 17 בנקים ספרד, כאשר זהו עדכון חדש המרחיב את יכולותיה של נוזקה זו, אשר בגרסתה הקודמת תקפה רק 3-5 בנקים שמקורם בספרד, ככל הנראה כניסוי כלים לפני ביצוע המתקפה האמיתית אשר כללה גם בנקים במדינות דוברות ספרדית ובכללן צ'ילה, קולומביה וונצואלה. דבר אשר כלל אינו מפתיע בהתחשב בעובדה כי הספרדית היא השפה המדוברת השניה בתפוצתה בעולם.

אולם נוזקה זו תקפה ברחבי אירופה בראש ובראשונה בבריטניה, צרפת ולאחריה בספרד, פעילת שהסבה לחברות בספרד נזקים בשווי 14 מיליארד אירו מפשיעה קיברנטית בשנת 2014.

שמה של הנוזקה נגזר מהמשפט “I am Dyreza” אשר נמצא בשורות הקוד ומהווה פעילות מסוג RAT אשר החלה במחצית שנת 2014. בזמנו מטרתה היתה רק להאזין לפרטי גישה מוצפנים, אולם מאז היא התפתחה במהירות ובאופן אגרסיבי הן טכנית והן פשיעתית, דבר ההופך את הנוזקה לאחת מהמתקדמות ביותר הפעילות כיום בשל יכולותיה הרחבות והעדכונים המתמידים שלה אשר נועדו לחמוק ממנגנוני גילוי שונים ובכללם אנטי וירוסים.

ההנחה היא כי העומדים מאחורי נוזקה זו אינם חובבנים ולאור התשתית, כוח האדם, הידע באתרי בנקאות ושיטות אימות, זוהי קבוצה סגורה הנתמכת במשאבים, נסיון וידע, האופייניים לקבוצות פשיעה קיברנטית. קבוצות אלו אינן חולקות ידע ומשאבים ואינן מוכרות את הנוזקות שלהן, זאת לצד זהירות מופלגת בהוספת חברים לקבוצה. הקבוצה המדוברת נבדלת מהאחרות בשל מטרות האיכות אותן בחרה, לפחות חצי מיליון דולר בכל ארוע.

תקיפות אלה מהוות שילוב בין APT והונאה, במהלכן השיגו הפורצים מודיעין על ארגון היעד, תוך השקעת משאבים בפריצה למערכותיו והנחת התשתית לפעילות ההונאה לפני ביצוע העברת הכספים הנרחבת.

הקבוצה כללה צוות אשר עסק בהונאה מסוג 'הנדסה חברתית' בשפה ובמבטא המדוייק בהתאם לבנק.

Dyre Wolf – Flow of Events of Targeted Wire Fraud Attacks

לצידם היו ה"פועלים" אשר הפעילו את ההונאה עצמה במשמרות בין הימים שני ושישי, משעות הבוקר ועד הערב בהתאם לאזורי הזמן בארה"ב, לצד קבוצה יעודית שעסקה בהונאות הגדולות, חשבונות בנק והעברות כספים גדולות במיוחד בין 500 אלף דולר ל-1.5 מיליון דולר להעברה. הואיל וההונאות הגדולות מתבצעות תוך כדי מבצעים קטנים אחרים, ההנחה היא כי קיימת הפרדה בין פעילות הצוותים השונים.

הנחה נוספת של המחקר היא כי הצוות ממוקם באוקראינה או ברוסיה, זאת בהתבסס על שעות העבודה והעובדה כי 80% מהשרתים של הנוזקה מצויים בכתובות IP במדינות אלה.

עוד מגלה המחקר כי עוצמת הנוזקה ביכולתה לשנות את התנהגות הדפדפן באופן מיידי וספציפית בהתאם לבנק שמשמש יעד לתקיפה, תוך משלוח הקורבן לעמוד אינטרנט מזוייף אשר הוכן לשם כך מבעוד מועד על ידם, ושמירת חיבור ה-SSL עם הבנק פעיל, רק על מנת ליצור מצג שווא של אתר אמיתי ומאובטח של הבנק. כאשר המניפולציה על עמוד הבנק מבוצעת באופן דינמי.

תפוצת הנוזקה במהלך החודש החולף, ממקמת אותו שני לאחר הנוזקה Neverquest המהווה נוזקה מסחרית רחבת שימוש;

Top Ten Most Prolific Advanced Malware in Past 30 Days (IBM Security Data)

מומחי החברה ממליצים לבנקים להזהיר את לקוחותיהם בתחום הבנקאות המקוונת ולבקש מהם לדווח על כל דוא"ל חשוד ולפעול עם ספק שרותי מניעת ההונאה שלהם כדי לצמצם את סיכוני הנוזקה ככל שניתן.

Rombertik – נוזקה המנטרת את פעילות הדפדפן ומוחקת את קבצי המחשב עם גילויה

ב-5 במאי פורסם על דבר קיומה של נוזקה אשר גורמת להשבתת המחשב עם גילויה, אשר זכתה לשם Rombertik על ידי Cisco.

נוזקה זו מיועדת ליירט כל טקסט המוזן לדפדפן והיא מופצת באמצעות הודעות זבל ופישינג;

email-screenshot-watermarked

תוך ביצוע מספר בדיקות של הנוזקה לוודא כי לא התגלתה. התנהגות שאינה חריגה לחלק מהנוזקות, אולם ייחודה של זו בכך שהיא מנסה באופן פעיל להרוס את המחשב באופן שיטתי עם גילויה. עוד נמסר כי נעשה שימוש בנוזקה שכזו בעבר בעיקר נגד מטרות בדרום קוריאה ב-2013 ונגד סוני בשנת 2014.

עם התקנתה הנוזקה פורסת עצמה באופן שבו 97% ממנה נראה לגיטימי תוך שימוש ב-75 תמונות ו-8,000 פונקציות הטעיה בהן לעולם לא נעשה שימוש. לאחר שהיא גורמת למחיקת המידע במחשב ולאיתחולו, תוצג למשתמש ההודעה הבאה עם עליית המחשב;

carbon-copy-wm

 

רוסיה: מעצר חשוד בהפצת הנוזקה Spveng

ב-16 באפריל פורסם כי רשויות הבטחון ברוסיה עצרו צעיר בן 25 באשמת יצירת נוזקה מבוססת אנדרואיד בשם 'Spveng' שמטרתה גנבת כסף, תוך התייחסות לכך כי זו הדביקה כ-350 אלף מכשירים במהלך השנה שעברה לאחר שהתגלתה ביולי 2013 על ידי חברת קספרסקי אשר זיהתה את הנוזקה בשם SMS.AndroidOS.Svpeng.

פעילות זו גרמה דאגה רבה למשטרת רוסיה הואיל ובעטיה נגנבו כ-930 אלף דולר מאזרחי המדינה ומהבנק הגדול במדינה, עם זאת גם בארה"ב וברחבי אירופה התקבלו דיווחים על פגיעתה.

נטען כי קבוצת הפושעים החלה לגנוב כספים מהקורבנות באמצעות משלוח מיסרונים. עם הדבקת המכשיר, החלה הנוזקה לעקוב אחר משלוח כל המסרונים מהמכשיר הנגוע ואז עשתה שימוש במסרונים אלו לבנקים השונים כדי לשלוח הנחיות להעברת כספים, באמצעות מעקב של הנוזקה אחר קודי אישורי התשלום, זאת כדי לוודא שהעברת הכספים תבוצע מבלי לעורר חשד.

לשם הפצת הנוזקה נשלח למכשירי היעד קישור מזוייף של Adobe Flash Player באמצעות מסרון. משעה שנפתח הקישור הוא איפשר הורדת נוזקה וחיפוש אחר אפליקציות של בנקים אמריקאיים דוגמת של Wells Fargo, Citi Amex, Chase, Bank of America. אולם נמסר כי אין הוכחה בדבר מטרת האפליקציה משעה שבוצעה הסריקה.

אתרי ממשל אפגאניים כבסיס להפצת נוזקות מצד גורמים סיניים

ב-21 דצמבר פורסם כי נוזקה אשר מקורה ככל הנראה בסין חדרה למספר אתרי ממשל אפגאניים (gov.af) ומדביקה את המבקרים בהם.

ההערכה היא כי המתקפה בוצעה בסביבות ה-16 דצמבר, מועד בו ביקר במדינה ראש ממשלת סין.  בהקשר זה צויין כי סין שואפת למלא תפקיד פעיל יותר במדינה עם סיום פעילות ארה"ב ונאט"ו בה.

החוקרים ציינו כי הם איתרו פעילות נמשכת מצד "שחקנים סיניים ספציפיים" אשר עשו שימוש בתשתיות אפגאניות כתשתית למתקפה, תוך התבססות על חדירתם לאתרי ממשל אלו והמשך הפעילות ההתקפית מהם.

Soak Soak: נוזקה חדשה תוקפת אתרי WordPress

ב-14 דצמבר פורסם בבלוג האבטחה Sucuri כי למעלה ממאה אלף אתרים מבוססי WordPress, נפגעו מנוזקה המכונה Soak Soak.

שמה של הנוזקה הוא על שם האתר soaksoak.ru אליו פונה הנוזקה כדי להוריד ממנו נוזקה נוספת הכתובה ב-javascript. עוד ממליצה הכתבה למשתמשים לבדוק את האתר שלהם באמצעות כלי חיצוני (Sucuri SiteCheck) של חברה זו.

הואיל וכיום יש למעלה מ-70 מיליון אתרים מבוססי WordPress, הרי שנוזקה זו יכולה להוות איום לאתרים רבים אף יותר מאלו שנפגעו עד כה. עד כה נמסר כי Google סימנה כ-11 אלף אתרים כנגועים.

Sucuri-SoakSoak-SiteCheck

משלוח דוא"ל החשוד כנגוע בהקשר של חדירת מזל"ט החמאס לשמי ישראל

בשעה 14:16 ב-14 יולי התקבל דוא"ל מאת "وكالة معاً الإخبارية‎" (סוכנות הידיעות הפלסטינית מען) מהכתובת heshamsaq@gmail.com והנושא את הכותרת "صور حصرية لطائرة القسام أبابيل A1A "للأغراض الهجومية"‎" (תמונות בלעדיות ממטוס אלקסאם אבאביל A1A "למטרות התקפיות"".

גוף המייל כלל את התוכן הבא; "مرفق صور حصرية لوكالة معا للطائرة التي سيرها القسام في مهام هجومية فوق تل أبيب حسب البيان على الموقع الرسمي للكتائب." (מצורפות תמונות בלעדיות של סוכנות מען של המטוס אשר שיגר אלקסאם במשימות התקפיות על תל אביב על פי הודעה באתר הרשמי של אלכתאיב).

כבעבר, צורףך למייל זה קובץ מכווץ. הפעם שמו A1A_Attack_arocraft.rar במשקל 1.1MB.

משלוח דוא"ל נוסף החשוד כנגוע למשתמשים בישראל

בשעה 16:03 ב-10 יולי התקבל דוא"ל מאת "Aviv Zilka" מהכתובת avivzilca@gmail.com הנושא את הכותרת "What really happened in Zikim !!!".

גוף המייל כולל את המסר "How IDF detected Hamas terrorists ???" וכן קישור תחת השם "Download Report And Photos" אשר גורם אוטומטית להורדת הקובץ Zikim.rar אשר בנוסף גם מצורף לדוא"ל זה.