Tal Pavel

Gaza cybergang: ריגול קיברנטי ברחבי המזרח התיכון

/ב , , , /על ידי

ב-30 באוקטובר פורסם מחקר של חברת Kaspersky בדבר קבוצת פושעים קיברנטיים בשם Gaza cybergang, הפעילה משנת 2012 נגד מטרות ברחבי המזרח התיכון וצפון אפריקה ובכללן גורמי ממשל, תשתיות קריטיות, תקשורת ופעילים שונים, בעיקר לשם ריגול.

מהמחקר עולה כי במהלך שנת 2017 הקבוצה ממשיכה בפעילותה נגד גורמי ממשל, וכן פעילה גם נגד גורמי תשתיות קריטיות מתחום האנרגיה כמו גם השימוש בחולשה CVE 2017-0199 החל ביוני 2017, בהשוואה לשימוש שעשתה עד כה בכלי תקיפה פשוטים ונפוצים. חולשה זו מאפשרת הרצת קוד ממסמך של Microsoft office במידה ובמערכת ההפעלה במחשב הקורבן לא בוצעו עדכוני אבטחה.

במרבית המקרים הנוזקה נשלחה לקורבן תוך שימוש במתקפת הנדסה חברתית במהלכה נשלחו לקורבנות קבצים מכווצים בעלי כותרות בנושאים הומניטריים ופוליטיים, היכולים לעניין גורמים שונים ברחבי המזרח התיכון;

בנוסף נשלחו קישורים להורדה, אשר עם פתיחתם התבצעה התקשורת לכתובת מוגדרת מראש במטרה להוריד את הנוזקה עצמה, אשר משעה שהותקנה במחשבי הקורבן, היא מאפשרת לתוקף גישה מלאה לתכולת המחשב ותעוד כל הפעילות בו.

עוד עולה כי קבוצה זו אינה בוחרת מטרות בצורה מדוקדקת אלא תרה אחר מודיעין ממגוון מקורות במזרח התיכון.

Tal Pavel

מתקפת ריגול קיברנטי נגד הודו ופקיסטאן

/ב , , , /על ידי

ב-28 אוגוסט פורסם כי מדוח ששלחה חברת האבטחה Symantec ללקוחותיה בחודש יולי, עולה כי היא זיהתה קמפיין ריגול קיברנטי מתמשך מאוקטובר 2016, ככל הנראה בחסות מדינה – מבלי לנקוב בשמה – נגד מספר קבוצות בהודו ופקיסטאן הקשורות בנושאי בטחון אזוריים.

דובר החברה מסר כי היא אינה מגיבה פומבית על ניתוח נוזקות, חקירות ושרותי תגובות לארועים אשר היא מעניקה ללקוחותיה. אולם נמסר כי "ממשלות וצבאות הפועלים בדרום אסיה ובעלי אינטרסים בנושאי בטחון אזורי, הם בעלי סבירות לסיכון מהנוזקה, העושה שימוש ב-backdoor בשם Ehdoor לשם גישה לקבצים במחשבים".

תוך התייחסות של מומחה אבטחת מידע לכך כי קמפיין זה דומה לאחר אשר פגע בקטאר באמצעות תוכנות הקרויות Spynote וכן Revokery. "היו אלו Backdoors בדיוק כמו Ehdoor, המהווה מאמץ ממוקד בדרום אסיה". אכן דוח החברה מסר כי נעשה שימוש לראשונה בתוכנה זו בסוף 216 נגד גורמי ממשל וצבא במזרח התיכון ומעבר לו.

לדברי החברה, התקנת הנוזקה היתה באמצעות מסמכי הטעיה, לכאורה מטעם גורמי תקשורת שונים, העוסקים בנושאי בטחון בדרום אסיה. עם התקנתה מאפשרת הנוזקה לתוקפים העלאה והורדה של קבצים, ביצוע תהליכים, תעוד פעולות במקלדת, זיהוי מיקום הקורבן, גנבת מידע אישי וביצוע צילומי מסך. תוך התייחסות לכך כי תוכנה זו עודכנה בקביעות על מנת לספק "יכולות נוספות" למבצעי הריגול. כל זאת אף נגד מכשירים מבוססי אנדרואיד.

מנהל ה-CERT ההודי (CERT-In) סרב להגיב על התקפה זו, אך ציין כי "נקטנו בפעולה מיידית לכשגילינו Backdoor באוקטובר האחרון לאחר שקבוצה בסינגפור הזהירה אותנו".

פקיד בכיר בסוכנות החקירות הפדראלית (FIA) של פקיסטאן, אשר שמר על עילום שמו, מסר כי לא התקבלו כל דיווחים על ארועי נוזקות ממחלקות טכנולוגיות המידע בקרב גורמי הממשל.

מומחה אבטחה אחר אמר כי "דרום אסיה מהווה חממה למתחים גאופוליטיים, והיכן שאנו מוצאים מתחים מוגברים, אנו מצפים לרמות גבוהות של פעילות ריגול קיברנטי".

Tal Pavel

האם ה-NSA עוקב אחר העברות כספים של בנקים ברחבי המזרח התיכון ?

/ב , , , /על ידי

ב-14 באפריל פורסמו ידיעות לפיהן קבוצת האקרים בשם TheShadowBrokers פרסמה מסמכים המצביעים על כך שעלה בידי ה-NSA לפרוץ לרשתות של בנקים במזרח התיכון, ככל הנראה לאחר פריצה למשרד בדובאי של חברת EastNets הפועלת בתחום השרותים הפיננסיים (בכלל זה קישור הלקוחות לרשת העולמית להעברת כספים, SWIFT) והמאבק בהלבנת כספים.

מהפרסומים השונים עולה כי נראה שעלה בידי ה-NSA אף לפרוץ למערכות SWIFT במשרדיה הראשיים בבלגיה. עם זאת נטען כי לא היה כל צורך בפריצה זו, הואיל והארגון השיג גישה ברשות למחשבים אלו במטרה להלחם בהעברות כספים למימון טרור:

1

קבוצת ההאקרים TheShadowBrokers, אשר הדליפה באוגוסט 2016 מספר כלי פריצה של ה-NSA, פרסמה כעת הודעה בשם "Lost in Translation" ובה הפניה לארבעה קבצים והסיסמא "Reeeeeeeeeeeeeee" לפתיחתם. שניים מהם נושאים את השם swift.tar.xz.gpg ו-windows.tar.xz.gpg: 

2

האחרון כולל 23 כלי תקיפה חדשים (הקבצים עצמם מצויים גם ב-GitHub).

3

למרות פרסום כלי תקיפה אלו של ה-NSA בעבר, זו הפעם הראשונה שיש עדות למטרות של אותה פריצה מתוחכמת למערכת העברת הכספים העולמית. מסתבר כי עלה בידי ה-NSA לחדור למערכות ה-SWIFT לא במטרה לגנוב כספים, אלא כדי לעקוב בחשאי אחר העברות הכספים במזרח התיכון לגורמים שונים ובכללם גורמי טרור.

ככלל אין בכך חדש הואיל וכבר בספטמבר 2013 נחשף כי עלה בידי ה-NSA לפרוץ לרשת ה-SWIFT העולמית. זאת כחלק ממסמכי ה-NSA שהדליף אדוארד סנואדן, אולם אלו מעולם לא נחשפו לציבור ונטען כי הם מתוארכים לשנת 2011. מאלו שהודלפו כעת עולה כי לפחות אחד מהם מתוארך ל-17 אוקטובר 2013, חודש לאחר הדיווח על פריצת ה-NSA לרשת זו.

מומחה אבטחת מידע טען כי בפריצה שפרטיה הודלפו כעת, נראה כי אלפי חשבונות ומחשבים ממשרדי EastNets נפרצו ושמוסדות פיננסיים בכווית, בחרין והרשות הפלסטינית היו נתונים לריגול. ידיעה באל-ג'זירה דיווחה כי "מהמסכים עולה שה-NSA חדר לשני משרדי שירות של SWIFT ובכלל זה של EastNets" ומוסיפה לרשימת המדינות בהן בנקים ומוסדות פיננסיים היו נתונים למעקב, גם את דובאי, ירדן, תימן וקטאר. (מקור אחר כלל גם את סוריה ואבו ד'אבי). 

בהודעה שפרסמה חברת EastNets באותו היום נמסר כי "אין אמת בטענה המקוונת לפריצה למידע של לקוחות EastNets במשרד שרותי ה-SWIFT שלה".

בהודעה עליה חתום מנכ"ל החברה נכתב כי "הדיווחים שלכאורה נפרצה הרשת של EastNets Service Bureau (ENSB) שגויים לחלוטין ובלתי מבוססים. יחידת האבטחה הפנימית של הרשת ביצעה בדיקה מלאה של שרתיה ולא מצאה כל פריצה או חולשות. ה-ENSB פועלת על רשת מאובטחת נפרדת בלתי נגישה מהרשתות הציבוריות. התמונות שהוצגו בטוויטר, ובהן טענה לדליפת מידע, הם עמודים בלתי מעודכנים ומיושנים, אשר נוצרו משרת פנימי ברמה נמוכה אשר אינו פעיל משנת 2013.

למרות שלא ניתן לוודא את המידע שפורסם, אנו יכולים לאשר שלא נפרץ כל מידע של לקוחות EastNets, בכל דרך שהיא, EastNets תמשיך להבטיח את הבטיחות המלאה והבטחון של נתוני לקוחותיה באמצעות הרמות הגבוהות ביותר של הגנה ממשרד שרותי ה-SWIFT שלה".

חברת SWIFT מסרה "אנו מבינים כי יתכן והיתה בעבר גישה בלתי מורשית של צד שלישי לתקשורת בין משרד שרותים זה והלקוחות שלהם, יתכן וזו נפרצה" ומסרה כי אין עדות לכך שהרשת הפנימית שלה נפרצה.

מנגד מומחים אשר בחנו את הנתונים שדלפו (חלקם ניתוחים מעמיקים) מצאו קבצי סיסמאות וכן קבצי אקסל המפרטים את הארכיטקטורה הפנימית של שרת החברה, לצד למעלה מ-20 קודים זדוניים אשר חוקרים טוענים כי הם בני שלוש שנים ויותר, המנצלים חולשה בגרסאות ישנות (מלבד Windows 10) של מערכת ההפעלה Windows, עדות "לשחקן מתוחכם ודאגה אפשרית למאות מיליוני משתמשי Windows". חלק מהן מאפשרות לפורץ גישה מלאה להריץ את הקוד שלו על מחשב הקורבן, מבלי שיזוהו על ידי תוכנות אנטי וירוס שונות. חברת מחקר בדקה ומצאה כי הגרסאות הפגיעות מפעילות יותר מ-65% מהמחשבים שהשתמשו באינטרנט בחודש החולף.

מומחה האבטחה Matthew Hickey שבדק את התכולה כתב "אני לא חושב שאי פעם ראיתי בימי חיי כל כך הרבה exploits ו-Zero-day ששוחררו בבת אחת. ואני מעורב בפריצת מחשבים ואבטחה במשך 20 שנה". לדבריו "כלי תקיפה ברמה מדינתית מצויים כעת בידי כל אדם המעוניין להוריד אותם, אלו כלו נשק קיברנטיים, פשוטו כמשמעו, לשם פריצה למחשבים … אנשים ישתמשו בתקיפות אלו במשך שנים רבות".

מומחה אחר טען כי הקבצים מכילים הנחיה "כיצד להוריד את כל השאילתות של SWIFT ואת כל בסיס הנתונים אורקל של המשתמשים".

4

אחר הגדיר זאת כ"אסון מוחלט. הצלחתי לפרוץ כמעט לכל גרסה של Windows במעבדה שלי באמצעות הדליפה זו".

בהקשר זה צייץ אדוארד סנאודן במועד החשיפה כי "ה-NSA ידע ששיטות הפריצה שלהם נגנבו בשנה שעברה, אולם הם סרבו לספר למפתחי התוכנות כיצד לנעול אותן מפני גנבים. האם הם אחראים?" וכן טענה אחרת כי לארגון היו לפחות 96 ימים להזהיר את חברת Microsoft:

 5

החברה פרסמה הודעה בו ביום ובה נמסר כי היא בוחנת את הדליפה והיא "תנקוט בצעדים הנדרשים להגן על הלקוחות", אך סרבה לפרט.

 

ארוע זה מלמד אותנו על זילותם בעידן המידע של מושגים דוגמת "פרטיות", "סודיות", "אבטחה". מחד גיסא יכול ארגון מודיעין לחדור, בין אם ברשות ובין אם באמצעות פריצה, ולנטר את העברות הכספים של בנקים ברחבי העולם. מאידך גיסא, גם פעילות מסווגת זו, אינה סודית עוד. היא נחשפה לעין כל ובכלל זה העדויות ומצבור כלי תקיפה רבי ערך אשר יכולים לשמש בעתיד כל אדם.

לגבי טענת חברת EastNets, נראה כי יש אמת חלקית בטענתה; אכן הפריצה היתה לשרת "אשר אינו פעיל משנת 2013", כפי שמעידים המסמכים שהודלפו. אמנם שרת ישן, אך הוא ככל הנראה אכן נפרץ.

נותר לראות מה תהיה תגובה מדינות האזור, בעיקר בעלות בריתה של ארה"ב, לטענות ולהוכחות כי בנקים בשטחן נפרצו ונוטרו לאורך זמן על ידי ה-NSA.

בנוסף, נראה כי בזה לא תמה מלאכת ההדלפות של הקבוצה או כמו שכתבה בהודעתה "Maybe if all suviving WWIII theshadowbrokers be seeing you next week. Who knows what we having next time?".

Tal Pavel

Naikon – קבוצת ריגול קיברנטי באזור מזרח אסיה

/ב , /על ידי

ב-14 פורסם על שחקן מאיים חדש בשם Naikon, ממוצא סיני, אשר מתברר כי במשך חמש השנים האחרונות חדר לארגונים לאומיים ברחבי ים דרום סין, APT זה הוא מהפעילים ביותר באסיה. המטרה העיקרית של Naikon היא סוכנויות ממשל מהדרג הבכיר, לצד ארגונים אזרחיים וצבאיים במדינות שונות ובכללן פיליפינים, מלאזיה, קמבודיה, אינדונזיה, וייטנאם, מינמאר, סינגפור, תאילנד, לאוס, סין ונפאל.

לדברי מומחי חברת קספרסקי לקבוצה פעילות מגוונת החל מהגדרת תשתית ריגול בתוככי גבולות המדינה לשם קשר בזמן אמת ועד שימוש בכלי ריגול. לטענתם המבצע היה בעל מספר מאפיינים; ראשית, לכל מדינת יעד היה מפעיל אנושי יעודי אשר תפקידו היה לנצל את השונות התרבותית של המדינה, דוגמת הנטיה לשימוש בחשבונות דוא"ל אישיים בעבודה.

במדינות אחרות הציבה הקבוצה תשתית באמצעות שרתי Proxy בתוככי מדינת היעד במטרה לספק תקשורת בזמן אמת, לצד פלטפורמה ליירוט תעבורת הרשת כולה. הקבוצה השתמשה בערכת כלים לפריצה למערכות וליצירת Backdoor. זאת תוך שימוש ב-48 פקודות שונות בסט הכלים של הניהול המרוחק ובכלל זה שליטה מלאה, הורדה והעלאה של נתונים, התקנת תוספים ועוד.

בהודעה של חברת קספרסקי נכתב כי "הפושעים מאחורי מתקפת Naikon הצליחו ליצור תשתית גמישה ביותר שניתן להתאימה לכל מדינת יעד, תוך יכולת להעברת מידע ממערכותיו של הקורבן למרכז השליטה". עוד נמסר כי במתקפות אלה נעשה שימוש בשיטות של תקיפות ממוקדות (spear-phishing) באמצעות הודעות דוא"ל ובהן קבצים מצורפים אשר נועדו למשוך את תשומת לב הקורבן הפוטנציאלי. אלו נראו לעיתים כמסמך Word, אך היו אלה למעשה קבצי הפעלה מתוחכמים.

כמו כן נמסר כי מעת לעת התגלעו עימותים בין קבוצת Naikon לקבוצות APT אחרות הפעילות באזור, במיוחד תקיפה ממוקדת שבוצעה עליה באמצעות שחקן בשם 'Hellsing'.

Tal Pavel

עוד ממעללי ה-NSA; הם מנטרים גם דיסקים קשיחים

/ב , , /על ידי

עם הדלפת מסמכי ה-NSA על ידי אדוארד סנואדן, החל גל של חשיפות מידע בדבר היקף פעילות הניטור של סוכנות המודיעין אחר מכלול התקשורת המקוונת בעולם. מעת לעת נחשפים פרטים נוספים על עומק פעילות ניטור זו ומנגד, עד כמה אנו חשופים יותר ויותר בכל פעילות בסיסית שלנו בעולם מודרני ומתוקשב זה.

בעת האחרונה פורסם כי שרות הביון הגרמני אוסף מידי יום 220 מיליון פרטי מידע מהאזנה לתקשורת לוויין ואינטרנט, מידע אשר מועבר גם ל-NSA. כמו גם על כך שלשרות המודיעין הבריטי, ה-GCHQ, ול-NSA היתה גישה קבועה לכבלי תקשורת תת ימיים ברחבי העולם, אליהם בוצעה האזנה דרך קבע.

בהמשך לכך, נחשף ב-16 בפברואר כי ה-NSA הצליחה להחדיר תוכנות ריגול למעמקי הדיסקים הקשיחים של חברות דוגמת Western Digital Corp, Seagate Technology Plc, Toshiba Corp, IBM, Micron Technology Inc, Samsung Electronics  Ltd ואחרות, דבר המאפשר לה לנטר את פעילות מרבית מחשבי העולם. זאת לכדי מבצע ריגול הכולל מחשבים בקשת רחבה של מגזרים ובכלל זה ממשל וצבא, חברות תקשורת ואנרגיה, בנקים, מדיה, חוקרי גרעין וכן פעילים אסלאמיים, בלפחות 30 מדינות, בראשן איראן ולאחריה רוסיה, פקיסטאן, אפגניסטאן, סין, מאלי, סוריה ואלג'ריה. בחלק מהמקרים עוד משנת 2001.

CYBERSECURITY-USA

חברת קספרסקי סרבה להפנות אצבע מאשימה כלפי המדינה העומדת מאחורי מבצע ריגול קיברנטי זה, אך טענה כי היא קשורה היטב ל-Stuxnet אותו פרויקט של נשק קיברנטי אשר פגע במתקני הגרעין באיראן ושיוחס ל-NSA. קספרסקי כינתה את יוצרי הפרויקט "The Equation group" אשר במסגרתו נעשה שימוש במגוון אמצעים להפיץ את תוכנות הריגול ובכלל זה באמצעות פריצה לאתרי ג'האד, הדבקת התקני USB ו-CDs, זאת לצד פיתוח תולעת בשם Fanny אשר הפיצה עצמה.

במסגרת הפרויקט נעשה שימוש בשני Zero Day Exploits בהם נעשה שימוש במסגרת ה-Stuxnet, דבר היכול להצביע על קשר בין שני הפרויקטים, כמו גם האפשרות כי יתכן ו-Fanny שימש לאיתור מטרות עבור Stuxnet באיראן לשם הפצת הוירוס. אכן, עובד לשעבר של הסוכנות מסר לרויטרס כי הניתוח של חברת קספרסקי מדוייק וכי גורמים בסוכנות רואים בפרויקט זה בעל חשיבות דומה לזו של Stuxnet.

כבמקרה הקודם, גם כעת נטען כי פרויקט זה מהווה פריצת דרך טכנולוגית אשר איפשרה החדרת תוכנות זדוניות לתוך התוכנות המשובצות ברכיבי החומרה והצרובות בהם, כך שלא ניתן לשנות תוכנות אלו, באופן שהתוכנות הזדוניות החלו לפעול עם הדלקת המחשב. לבד מאיסוף מתמיד של מודיעין, מאפשר הדבר הדבקה מתמדת של המחשב שוב ושוב. עם זאת, מגלה המחקר כי למרות הפוטנציאל ההדבקה הרחב, מחשבי היעד למבצע ריגול זה נבחרו בקפידה.

גילוי זה עלול לגרום נזק לארה"ב אף במישור הכלכלי, זאת בין השאר ברתיעה גוברת מפני טכנולוגיה מערבית, דבר המדגיש את הצורך של מדינה לקחת בחשבון את ההשפעה האפשרית על יחסי מסחר ודיפלומטיה בטרם תעשה שימוש בידע טכנולוגי לשם איסוף מודיעין.

לפי שעה לא ברור כיצד השיגה ה-NSA את קוד המקור של הדיסקים הקשיחים, חלק מהחברות הכחישו כי סיפקו את קוד המקור לרשויות הממשל, בעוד אחרות לא הגיבו בנושא. אולם נמסר כי לסוכנות המודיעין קיימות דרכים שונות להשיג את קוד המקור מחברות טכנולוגיה ובכלל זה בקשה ישירה ואף התחזות למפתחי תוכנה בחברות, כמו גם היכולת לבקר את התוכנה במידה וחברה מעוניינת למקור את תוצרתה לגורמי ממשל בארה"ב וזאת על מנת לוודא כי קוד המקור בטוח. זאת בדומה לקיים בסין אשר מנסחת תקנות לפיהן רוב ספקי טכנולוגיית הבנקאות יצטרכו להמציא עותקים מקודי התוכנות לשם בחינה.

Tal Pavel

Regin – הסטאקסנט החדש ?

/ב /על ידי

חברת Symantec פרסמה מחקר חדש בדבר גילוי רוגלה מתוחכמת חדשה בשם Regin אשר נעשה בה שימוש למבצעי ריגול שיטתיים נגד מטרות בינלאומיות מאז 2008. לטענת המחקר זהו סוס טרויאני המהווה נוזקה מורכבת המעידה על רמת מורכבות טכנית נדירה למדי, הואיל ובין השאר היא מאפשרת לשולטים בה טווח רחב של יכולות התלויות במטרה, בדגש על יצירת מסגרת רבת עוצמה של מעקב לשם מבצעי ריגול נגד גופי ממשל, גורמי תשתית, עסקים, חוקרים וגורמים פרטיים.

ככל הנראה פיתוח התוכנה, הבנויה במבנה של חמישה שלבים פנימיים, ארך חודשים, אם לא שנים, תוך פעילות מורכבת לשם טשטוש העקבות. זאת לצד היכולות ורמת המשאבים העומדים מאחוריה-Regin המצביעים על כך שזהו אחד מכלי הריגול הקיברנטיים המצויים בשימושה של מדינה.

fig1-architecture

מורכבות של התוכנה היא כזו שלא ניתן ללמוד משלב אחד בה על יתר השלבים ורכיביה, כמו גם היותה מודולרית, דבר המאפשר לעדכן את יכולותיה בהתאם למטרה שנבחרה. שיטה מודולרית זו זוהתה בעבר בנוזקות דוגמת Flamer ו-Weevil בעוד שהארכיטקטורה מרובת השלבים דומה לנוזקות שנראו בעבר דוגמת Duqu ו-Stuxnet. ההדבקה אף היא משתנה בהתאם ליעד.

נוזקה זו אותרה בין השנים 2008 ו-2011 בקרב מגוון רחב של ארגונים, ולאחר מכן היא בוטלה בפתאומיות. גרסה  חדשה של התוכנה אותרה משנת 2013 ואילך.

בעת בחינת יעדי התקיפה של רוגלה זו ניתן לראות כי אלו רבים ומגוונים וכי מחציתם גורמים פרטיים וכן עסקים קטנים ולאחר מכן ספקיות תקשורת, לטענת המחקר על מנת להשיג גישה לשיחות המנותבות דרך תשתיות אלו;

fig2-sectors

בנוסף, גם התפוצה הגאוגרפית של רוגלה זו מגוונת; מחצית מיעדי התוכנה היו ברוסיה (28%) וערב הסעודית (24%), בעוד היתר היו בשמונה מדינות מרחבי העולם;

fig3-countries

המחקר גורס כי יתכן וחלק מהמטרות פותו להכנס לגרסאות מזוייפות של אתרים פופולריים וכי התוכנה הותקנה באמצעות הדפדפן או באמצעות ניצול אפליקציה. באחד מהמקרים גילה קובץ הרישום כי ה-Regin הגיע מתוכנת המסרים המידיים של Yahoo.

יכולות האיום הבסיסיות של רוגלה זו כוללות מספר מאפיינים של שליטה מרוחקת (RAT) דוגמת צילום מסך, שליטה על תפקוד העכבר, גנבת סיסמאות, ניטור פעילות התקשורת ושחזור קבצים שנמחקו. מודולים מורכבים יותר כוללים ניתור תעבורת Microsoft IIS web server וכן האזנה (Sniffer) לבקרי תחנות בסיס של טלפונים ניידים.

מפתחי הרוגלה שמו דגש רב על הסוואתה, דבר אשר משמעו יכולת להיות בשימוש מבצעי ריגול במשך שנים. גם אם נוכחות הרוגלה התגלתה, קשה מאוד לקבוע מה היא פעילותה. בנוסף כוללת הרוגלה מספר יכולות מוסוות ובכלל זה נגד פעולות פורנזיות, מספר סוגים מובנים של הצפנות וכן מספר יכולות מתוחכמות של תקשורת חשאית עם הגורם התוקף.

לסיכום, Regin מהווה איום בעל מורכבות גבוהה בו נעשה שימוש במסעות ריגול או איסוף מידע שיטתיים. הפיתוח והתפעול דרש השקעה משמעותית של זמן ומשאבים, דבר המצביע על כך שמדינה היא האחראית לכך. בנוסף, עיצוב התוכנה הופך אותה למתאימה למבצעי מעקב מתמשכים וארוכי טווח נגד מטרותיה. עוד טוענת Symantec כי היא מאמינה שרכיבים רבים של Regin עדיין לא התגלו, כמו גם יכולות וגרסאות נוספות שלה.

Tal Pavel

נסיון להונאת פישינג נגד פעילים טיבטיים

/ב , , /על ידי

חברת האבטחה ESET פרסמה ב-14 בנובמבר על הפצת נוזקה מסוג (Gh0st RAT (Win32/Farfli ככל הנראה נגד פעילים טיבטיים, עם כינוס ועידת G20 באוסטרליה. במסגרת ניתוח הארוע התברר כי נעשה שימוש בקוד במונח “LURK0”, בו נעשה שימוש בעבר בעת תקיפות שכאלה נגד קבוצות טיבטיות.

LURK0_Tibet

בחינה מעמיקה יותר הצליחה לשחזר הודעת דוא"ל אשר נשלחה לכאורה מאת <Tibet Press <tibet.press@aol.com והפיצה נוזקה זו בקרב גורמים טיבטיים;

email_G20_Summit

זוהי מתקפה מסוג spear phishing במהלכה מנסה התוקף לפתות את הקורבן לפתוח את הקובץ הנגוע המצורף להודעה תוך שימוש במידע על הפגנה אשר אורגנה על ידי Australian Tibet Council. כאשר למעשה נלקחה ההודעה בדוא"ל זה ישירות מאתר הארגון ונשלחה אל European Central Tibetan Administration.

להודעת הדוא"ל צורף קובץ Word הנושא את השם “A_Solution_for_Tibet.doc” אשר משעה שיפתח, יתקין על מחשב הקורבן Gh0st RAT בתיקיה הבאה C:Documents and SettingsAdministratorApplication DataMicbt.

לאחר התקנתו ינסה ה-RAT ליצור קשר עם שני דומיינים; mailindia.imbss.in, godson355.vicp.cc

אין זו הפעם הראשונה בה נעשה נסיון להדביק בנוזקות פעילים טיבטיים ואף לרגל אחריהם באמצעים אלו; ב-24 במרץ 2013 איתרו מומחי חברת קספרסקי התקפה מקוונת ייחודית נגד גורמים טיבטיים ופעילי זכויות אדם באמצעות פעולה דומה של משלוח הודעה נגועה, אך הפעם למכשירי הסלולר של הקורבנות.

Tal Pavel

רוגלה נגד המפגינים בהונג קונג

/ב , , /על ידי

ב-24 השעות האחרונות התפרסמו מספר דיווחים (בכלל זה ב-SC Magazine), בדבר גילויה של רוגלה המיועדת נגד המפגינים הפרו-דמוקרטיים בהונג-קונג. אולם הדיווח הראשוני לכך פורסם כבר ב-17 בספטמבר ב-South China Morning Post (אשר ב-30 בספטמבר נמסר כי הגישה אליו נחסמה מסין).

התוכנה הוסוותה כאפליקציה למכשירים שונים מבוססי אנדרואיד אשר נוצרה כביכול על ידי Code4HK המהווה קבוצה של מתכנתים ששמה לה למטרה לשפר את השקיפות השלטונית בהונג-קונג. השלב הראשון בהפצת הרוגלה היה עם משלוח מסרון ובו קישור אשר הגיע ממספר טלפון בלתי מזוהה (אותו לא ניתן היה להשיג טלפונית), ככל הנראה כבר ב-16 בספטמבר – "!Check out this Android app designed by Code4HK for the coordination of Occupy Central".

עם התקנת האפליקציה, התבקש המשתמש לאשר לה גישה לרשימת אנשי הקשר, הסטורית הניווט בדפדפן, מיקום משוער, הודעות טקסט, והיסטורית שיחות הטלפון.

דובר Occupy Central מסר כי לארגון אין כל קשר עם אפליקציה זו, אישור שהתקבל גם מ-Code4HK. יועץ בכיר במרכז CERT מקומי אמר כי חלק מהפעילות החשודה של האפליקציה כוללת הקלטת אודיו ולכידת מיקום המכשיר. לדבריו זוהי "נוזקה בעלת התנהגות של ריגול", "על פניו היא לא חשודה, אולם מרגע התקנתה היא פורסת מידע לשם התקנת אפליקציה נוספת על המכשיר, אשר מתקשרת עם שרת המצוי בדרום קוריאה". 

עוד נמסר מקבוצת Code4HK כי נראה שנוזקה זו היא "מוצר מדף ולא כוונה נגדנו", אלו לא הצליחו לזהות מיידית את מקור הרוגלה, אולם דווח כי הכניסה לשרת המארח היתה בשפה הסינית המצויה בשימוש בסין עצמה.

ביומיים האחרונים הופצו שני קבצים המיוחסים לרוגלה זו, האחד הוא גרסה נוספת של נוזקה זו המכונה Spyware:Android/Code4hk.A;

Capture6

וכן נוזקה נוספת ככל הנראה בעלת מאפיינים דומים,

Capture8

 

במסגרת צעדיה של סין להצרת צעדי משמתשי האינטרנט ולחסימת המידע על ההפגנות בהונג-קונג, דווח ב-28 ספטמבר על חסימת הגישה לרשת החברתית Instagram, שרות בו ממשיכה להשתמש הגברת הראשונה של סין באמצעות VPN.

Capture5מעצר תושב סין אשר הציב תמונות מההפגנות ברשת החברתית הסינית Weibo;

Capture7

פעילות טכנית נוספת מהימים האחרונים המיוחסת לסין בהקשר זה היא נסיון ליצור התקפה מסוג Man-in-the-middle נגד Yahoo;

Capture9

Tal Pavel

מצלמות אינטרנט ככלי ריגול במרחב הפרטי והעסקי

/ב , /על ידי

בכתבה שפורסמה ב-21 בספטמבר דווח על אפשרויות השימוש במצלמות אינטרנט ואבטחה ככלי לריגול במרחב הביתי והעסקי. לאור המקרים האחרונים בהם הודלפו תמונות אישיות של מפורסמים שונים, הופנתה תשומת הלב לדרכים השונות להגנת הפרטיות.

מקרים שכאלו סביר כי לא יתרחשו למשתמש הרגיל, אולם ניתן לפרוץ למכשירים ביתיים שונים. במידה ומצלמות אלו נפרצו, ניתן להקליט ולתעד את הפעילות ולשדרה מיידית לרחבי העולם. מבדיקה שנערכה עולה כי מידי יום אנשים נתונים לחדירה שכזו למרחב הפרטי שלהם ללא ידיעתם או הסכמתם. בנוסף, פעילות לא חוקית זו אינה מוגבלת רק למרחב הפרטי הביתי, מצלמות אבטחה והתקנים שכאלה קיימים גם בארגונים ועסקים.

מטרת הפושעים היא לגנוב נתונים פיננסיים ומידע רגיש, לסחוט אנשים באמצעות פרסום תמונות אישיות, איתור דברי ערך בבית או חיפוש אחר סוג מסויים של סיפוק. בכתבה מתואר אתר הזמין לכל ובו הכתבים במשך שעתיים צפו באנשים המבצעים פעולות שגרתיות בבתיהם או במקומות עבודתם. תינוקות בעריסות, ילדים ישנים, תלמידי בית ספר עובדים על המחשב בביתם, חדר החלפת הבגדים בכנסיה, ארוחה של שני גברים ועוד.

החמור מכל היה שאף לא אחד מהם היה מודע לכך שאנשים רבים מסביב לעולם צופים בו ובמעשיו. הנחמה היחידה היא שמפעיל האתר טשטש את המידע על מיקום המצלמות, אולם את חלק מהמקומות היה ניתן לזהות בנקל על ידי תושבים מקומיים.

עם השתנות הטכנולוגיה, מכשירים חדשים מגיעים מצויידים בתכונות שמלהיבות את הרוכשים. למרות שמצלמת האינטרנט ברזולוציה הגבוהה במחשב הנייד מספקת תצוגה מרהיבה, היא יכולה לשמש כמצלמת מעקב בידיו של האקר. מכשירים אחרים אשר נועדו לשמור על בטחוננו מגיעים עם ססמאות מוגדרות מראש, אשר במידה ולא ישונו, ניתן בקלות לאתרן על ידי האקרים בעלי ידע, אשר ינצלו מכשירים אלה לצרכי ריגול ואף גנבת פרטי לקוחות.

כל זאת לכדי מצב שהמצלמה שמטרתה להגן, הופכת לכלי ריגול ולנשק בידי פושעים שונים.

כיצד להשמר מפני החדירה לפרטיות האישית והעסקית באמצעות מצלמות אלה ?

  • יש לוודא שניתן לשנות את סיסמת ברירת המחדל במצלמה שנרכשה.
  • בעת הצורך יש להתקשר ליצרן ולקבל הסבר מדוייק לכך.
  • לשנות את הסיסמא לאחת חזקה ולעשות זאת דרך קבע.
  • להיות ערני, לא ליפול להונאות פישינג בדוא"ל, או לפתוח קבצים בלתי מוכרים.

 

הכתבה נכתבה עבור עמותת אשנ"ב

Tal Pavel

אפליקציית רוגלה חדשה התגלתה בערב הסעודית

/ב , , /על ידי

בידיעה שפורסמה ב-27 ביוני ב-Human Rights Watch נמסר שחוקרי אבטחה עצמאיים של Citizen Lab זיהוי בדוח שפורסם שלושה ימים קודם לכן, תוכנת מעקב מבית היוצר של חברה איטלקית אשר נראה כי מטרתה לעקוב אחר גורמים ב-Qatif שבמזרח הממלכה. מקום אשר חווה מחאות מתמשכות נגד הממשלה החל בשנת 2011. 

לצד הפעילות הקבועה של המשטר לדיכוי מחאות מקוונות, בעיקר אלו העוסקות בהפרת זכויות אדם, נראה כי השלטונות פועלים כעת באמצעות פריצה לטלפונים סלולריים לשם מעקב אחר המשתמשים. הרוגלה התחזתה לאפליקציית האנדרואיד של העיתון al-Qatif al-Youm (القطيف اليوم) המספק מידע בערבית על הנעשה בעיר מחוז זו.

משעה שהותקנה, היא מדביקה את הטלפון ברוגלה מעשה ידי חברת Hacking Team אשר לטענתה מספקת אמצעי מעקב וחדירה דיגיטליים רק לממשלות לשם חקירות פליליות ופעילויות חוקיות של איסוף מודיעין הקשורות בפעילות נגד טרור ופשיעה. הרוגלה מאפשרת מעקב אחר כל הפעילות המתבצעת באמצעות הטלפון, כמו גם אפשרות להדליק את מצלמת הטלפון או את המיקרופון המותקנים בו ללא ידיעת בעליו. 

לא עלה בידי החוקרים לקבוע האם כלי חברה זו אכן הותקנו בערב הסעודית על ידי ממשלה זו או אחרת ולא לקבוע מי יכול היה להיות היעד הספציפי לרוגלה זו. אולם Human Rights Watch ו-Citizen Lab תעדו בעבר שימוש בכלים של חברה איטלקית זו נגד ארגון תקשורת אתיופי עצמאי וגולה. 

חברת Hacking Team מסרה כי היא תשהה את התמיכה במוצריה אם היא תגלה כי נעשה שימוש שגוי בטכנולוגיה שלה על ידי הלקוח ואם הדבר נעשה בעבר. עם זאת החברה לא פרסמה מידע בדבר חקירותיה ולא לגבי הצעדים למול ארועים ספציפיים. עוד מסרה החברה כי היא לא מאשרת ולא מכחישה זהות של לקוח ספציפי כחלק ממדיניות החברה.

ג'רמי מקובסקי

סמארטפון סיני ובו תוכנות ריגול

/ב , , /על ידי

חוקרים מחברת האבטחה הגרמנית G-Data גילו טלפון חכם ובו תוכנות ריגול. המדובר במכשיר N9500 תוצאת סין המבוסס אנדרואיד אשר כולל תוכנה המהווה סוס טרויאני המכונה Usupay.D והנמצא בחנות Google Play. התוכנה מאפשרת לגנוב מידע אישי ושיחות.

China-smartphone-spyware-1-6d5fb

מבדיקות שבוצעו על ידי חברת אבטחה, תוכנת הריגול, המותקנת מראש על חומרת המכשיר, שולחת את המידע שאספה לשרת בלתי מזוהה הממוקם בסין. עוד התגלה כי באפשרותה להפעיל בצורה מרוחקת אפשרויות שונות במכשיר דוגמת מיקרופון ומצלמה. אין זו הפעם הראשונה שמתגלה מכשיר סיני אשר בו מותקנות תוכנות ריגול, בשנה שעברה סוכנויות הריגול הבינלאומיות הגדולות ביותר החליטו להמנע מלרכוש מוצרי חברת לנובו הסינית בשל התוכנה ובה יכולות ריגול, הקיימת במוצרים שונים. יצויין כי סין אינה המדינה היחידה המייצאת מכשירים ובהם רוגלות, נטען כי בארה"ב הנתב של סיסקו מיוצא ובו כלי מעקב נסתרים ללא ידיעת החברה.

gdata

Tal Pavel

חשד לאפליקציה מזוייפת של בנק מזרחי

/ב , , , /על ידי

בידיעה מה-24 ביוני בבלוג של חברת Lookout נמסר כי עלה בידם לגלות אפליקציה בנקאית ב-Google Play אשר נועדה לגנוב את פרטי הגישה של המשתמשים בה, אך למרבה הפלא לא את ססמאותיהם.

אפליקציה זו, אשר נקראה BankMirage, כוונה נגד לקוחות בנק מזרחי. נטען כי התוקפים עטפו את האפליקציה המקורית של הבנק והפיצו אותה מחדש, תוך התחזות לאפליקציה הרשמית של בנק זה.

אפליקציה זו יצרה מתקפה מסוג "דיוג"; משעה שהותקנה ונפתחה, הנוזקה העלתה טופס כניסה אשר שימש להזנת פרטי הכניסה של המשתמש. אולם באמצעות הונאה זו נגנב רק שם המשתמש ולא סיסמאתו וזו באופן מכוון. עם הזנת שם המשתמש, הוצגה בפניו הודעה לפיה הכניסה למערכת נכשלה וכי עליו להתקין מחדש את התוכנה של הבנק מ-Google Play.

החברה מסרה כי לאחר שהסבה את תשומת לב Google לאפליקציה, זו הוסרה.