njRAT – מההסלמה בזירה העיראקית עד למתקפה משפטית של Microsoft

דו"ח אשר פורסם לאחרונה טוען להסלמת המאבק בזירה העיראקית העקובה מדם גם במרחב הקיברנטי. הכתוב מלמד אותנו על הלימה בין הסלמה בעימותים ועוצמת התקיפות אשר הורכבו ממספר איומים כאשר njRAT הוא אחד מהם.

כלי זה אשר נסקר בהרחבה בעבר מספק פונקציונליות דומה לשלל כלי RAT (remote administration tools) מקבילים ופותח ע"י אזרח כוויתי הפועל תחת הכינוי njq8 (קרי: nj-כווית). כמו-כן, קיימים "מיזמים" מעניינים נוספים של אותו מפתח – להלן דוגמה בודדת מבין שלל העלאות משתמש ה-pastebin המשמש את הקבוצה security.najaf. נזכיר כי נג'ף היא אחת הערים הגדולות בעיראק וניתן לראות בכך חיזוק נוסף לזיקתו של מפתח הכלי לזירה העיראקית בכלל ולקבוצה המדוברת בפרט. לפי סקירות שונות של אירועי עבר נראה שהוא משמש שחקנים רבים עבור מטרות מגוונות – מריגול אחר מתנגדי משטר ועד ל"שחרור קיטור" קיברנטי על מטרות אקראיות מהמחנה היריב.

משתמשי njRAT העיראקים והאחרים אף זכו בימים האחרונים לתשומת לב מיוחדת מיחידת הפשיעה הדיגיטלית של Microsoft שהודיעה על מבצע נקודתי מול  no-IP המכוון בעקיפין אליהם. במסגרת המבצע תפסו את ה-domains הרבים השייכים לחברה וביצעו להם sinkholing, דהיינו – הפניית התעבורה לכתובת חליפית תוך קטיעת התקשורת בין כלים שהדביקו בהצלחה קורבנות לבין אמצעי השליטה של התקופים. החברה נתבעה בבית משפט אמריקאי במקביל להליך משפטי נגד מפתח הכלי הכוויתי, שותפו האלג'יראי ו-500 אלמונים נוספים. נשים לב לכך שבראיית התוקפים מדובר באישוש נוסף של הצורך לשמור על חשאיותם כפי שהוצג בפוסט קודם.

התשתית אותה סיפקה no-IP ונמצאת במוקד המתקפה של Microsoft היא שירות הנקרא dynamic DNS. התוקפים מטביעים בכלי התקיפה, לרבות njRAT, כתובת subdomain מהצורה xxx.no-ip.biz או כתובת דומה תחת אחד מחלופות אחרות רבות אותן החברה מספקת. באמצעות אתר האינטרנט של no-IP הם יכולים לקשור את שם ה-subdomain  לכתובת IP לבחירתם ואף לשנות אותה מעת לעת לפי הצורך. בעת ההדבקה הכלי יפנה לשרתי no-IP ויבדוק מה ה-IP המקושר נכון לזמן הפניה עם ה-subdomain ובכך יאפשר גמישות רבה יותר לתוקפים בהשוואה להטבעת כתובת IP בלבד, למשל במקרה בו ירצו לשנות באופן שקוף את ה-IP ממנו מנוהל הכלי.

נתוני Microsoft מצביעים על כך ש-93% מכלל התעבורה בשרתי הנתבעת קשורה לשליטה בנגזרות njRAT כאשר ניתן לראות בנתונים מהזירה העיראקית תימוכין לכך. עם זאת, בימים הבודדים שעברו מאז הכרזת המבצע נודע כי נפגעו גם לקוחות לגיטימיים של השירות, והיום פורסמה הודעה בדבר חזרתו כאשר לא ברור כיצד יסוכל המשך השימוש הזדוני בו.

"שלושת החיילים החטופים נרצחו" – מבט מעמיק על הסוס הטרויאני שהופץ במקביל לאירוע החטיפה

זמני משבר בהם מיעוט מידע הוא כורח הנסיבות הם כר פורה למגוון רחב של פעולות זדון. אירוע החטיפה בליל שישי ה-13/6/2014, יצר צמאון אדיר למידע שתרם לחרושת שמועות חסרת תקדים בהיקפה שאף דרשה את המשטרה לרמיזה כי יפתח הליך פלילי נגד המפיצים של חלקן.

התובנה כי קיים תאבון בריא שכזה לא פסחה גם על האקרים אלמוניים שהפיצו את הדוא"ל שכותרתו "מקור מודיעיני: "שלושת החיילים החטופים נרצחו". הידיעה הסנסציונית לכאורה אמורה לשטות בנמען ולגרום לו לפתוח אותה כך שידבק בתוכנה זדונית.

הקובץ שצורף לדואר האלקטרוני היה מסוג scr. סיומות מוסתרת כברירת מחדל ב-Windows ויוצר הקובץ טרח והוסיף אייקון המתחזה למסמך Word כך שתחת הגדרות ברירת המחדל הקובץ יראה כך:

1

במידה וההגדרות שונו, הרמז היחיד אותו יראה הקורבן הוא הסיומת הלא סטנדרטית:

2

scr, שמשמש במקור לאחסון screensaver, היה פורמט קבצים פופולארי בעבר בקרב מפיצי תוכנות זדוניות. גרסאות מוקדמות של Windows הריצו אותו כאילו היה קובץ exe ממש, גם אם לא היה חתום דיגיטאלית. כיום מתבצעת בדיקה ופתיחת הקובץ המצורף במערכת הפעלה מודרנית דוגמת Windows 7 תגרום לפתיחת החלון הבא:

3

כאמור, ניתן לראות אינדיקציה גם בסוג הקובץ שבבירור איננו מסמך וגם בכך שהחתימה הדיגיטאלית עליו חסרה. בשלב זה של הניתוח הופיע אמצעי ראשון בו נקטו התוקפים כדי להתחמק מבדיקתו לעומק – הטמעת יכולת למניעת הרצתו במכונה וירטואלית:

4

עבודה במכונות וירטואלית היא ברירת המחדל עבור חוקר אבטחה – הרי הוא אינו מעוניין להדביק סביבות "אמיתיות" בתוכנה זדונית בלתי-מוכרת. במימוש מנגנון זה קיוו התוקפים למנוע מחקר איכותי של הכלי ובכך להקטין את הסיכוי להתחקות אחר עקבותיהם.

לאחר התגברות על המנגנון האמור לעיל הורץ הקובץ פעם נוספת והכלי החל להתפרש במיקומים שונים במחשב המחשב. בשלב זה הקורבן יראה מסמך pdf שיפתח. נזכור כי הקובץ החשוד נשא אייקון של Word, ומרשלנות זו ניתן לגזור פעם נוספת על רמתם של התוקפים.

בינתיים מאחורי הקלעים מועתק קובץ exe בשם Pure יחד עם אייקון Word וקובץ ה-pdf לתיקייה C:UsersUsernameAppDataLocalTemp

5

נשים לב כי הסוס הטרויאני עצמו והאייקון הוכנו עוד לפני החטיפה אך קובץ ה-pdf נשמר לאחר האירוע ששימש כטריגר לניצול ההזדמנות. תוכנו של ה"מסמך האקסקלוסיבי" כולל כתבה ישנה על חטיפת שלושת החיילים בהר דב בשנת 2000.

בשלב זה הבדיקה התמקדה במטען העיקרי הלא הוא קובץ ה-exe. ניסיון לבצע ניתוח טכני של הקובץ ברמת שפת המכונה העלה כי התבצע שימוש בכלי בשם SmartAssmbly אשר במקור נבנה למניעת גניבת קניין רוחני ובפועל משמש כדי לנסות לחמוק מגילוי בידי מוצרי אנטי-וירוס ולהקשות על ניסיונות ניתוח שלו. השימוש בגרסאות פרוצות שלו מוכר בידי האקרים ערבים ומחזק את הסברה אודות זהותם.

במקום להתמודד עם השיטות הללו, הוחלט לתת לכלי להתעורר ולנסות "לחייג הביתה" ולנתח אותו בזמן ריצה. התבוננות בתעבורת הרשת הניבה תוצאות מידיות ובהן פרט קריטי על אודות הכלי אשר בידינו:

6

לאחר חיפוש קצר והשוואה בין האופן בו מספר כלי תקיפה מבצעים את פעילות ההתקשרות למפעיליהם נמצא שמדובר ב-XtremeRAT בגרסה 2.9 באופן חד-משמעי. מדובר בכלי ותיק יחסית אשר נמצא בשימוש גורמים ערבים-מוסלמים ואף שימש בעבר בתקיפות "האקרים פלסטינים" על מחשבים השייכים למשרד הביטחון.הכלי מאפשר לתוקף שליטה מוחלטת במחשב הקורבן – נגישות מלאה לקבצים שעליו, סיסמאות המאוחסנות בו ואף להפעיל מצלמה או מיקרופון או להשתלט עליו מרחוק לחלוטין עד לכדי שליטה בתנועות העכבר.

כמו-כן, התבצע ניסיון להתחקות אחר התוקפים באמצעות כתובת ה-IP  שהוטמעה בכלי ויכלה ללמד אותנו לפחות מאיזו מדינה מגיעים התוקפים, אך אלו למרבה הצער ניתבו אותה דרך קנדה. כדי להבין את פשר המעורבות הקנדית נדרשה בכל זאת חקירה של  pure.exe על אף הניסיון להימנע ממנה, ומסתבר שהוטמעה בו התקשרות לשרת פרוקסי של חברת purevpn  שמספקת בין השאר פתרונות בידול בקנדה. בנוסף, האייקון של הקובץ תאם בצורה מפתיעה את הלוגו של החברה, כאשר כעת ניתן גם להבין גם את מקור שמו המוזר של הקובץ:

7

השימוש בשרת פרוקסי מונע גילוי מיקומם של התוקפים ומהווה הגנה נוספת שעולה בקנה אחד עם אמצעים אותם נקטו התוקפים והוזכרו מעלה.

 

"‫חדשות אשקובית לב השומרון‬‎" מפיצים מייל חשוד נוסף

בהמשך למייל חשוד אשר נשלח ב-10 ביוני מטעם "אוהד לוין" המשמש "תחקירן ומנהל מדיה אינטרנטית" ב"אשקובית לב השומרון", נשלח ברגעים אלה מייל נוסף מטעם "חדשות אשקובית לב השומרון" (mail.ashkubit@gmail.com) הנושא את הכותרת "מקור מודיעיני: "שלושת החיילים החטופים נרצחו"".  גם מייל זה כולל קובץ מצורף, הקובץ המכווץ נושא את השם Exclusive doc במשקל 2.2MB.

נסיון ליצור קשר עם הגורם השולח, בהתאם למספרי הטלפון המפורסמים בעמוד הפייסבוק של מקור חדשות זה, לא צלח. לא בפעם הקודמת וגם לא עכשיו.

מייל נוסף החשוד כנושא נוזקה מופץ בישראל

בתאריך 10 יוני נשלח מייל מאת "אוהד לוין" המשמש "תחקירן ומנהל מדיה אינטרנטית"  ב"אשקובית השומרון" תחת הכותרת "הרמטכ"ל גנץ: חיל האוויר נערך לתקוף מטרות של 50,000 לוחמי אל קעידה‎".

המייל עצמו כולל קישור לאתר ashkubit.com וכן חתימתו של אותו "אוהד לוין". באתר זה אכן נמצא כותב בשם "אוהד לוין".

כבעבר, מצורף למייל זה קובץ במשקל 1.7MB והנושא את השם "‪הרמטכ"ל גנץ.rar‬".

הערה  – במקרה זה השמטתי בכוונה את כתובת הדוא"ל של השולח וכן את מספר הטלפון המצוי בחתימת המייל, זאת הואיל ויתכן ומדובר בישות אמיתית אשר נעשה שימוש בפרטיה.

המונדיאל בשרות פושעים קיברנטיים

כתבה מה-30 מאי מדווחת כי חוקרי חברת Trend Micro גילו כי עלה בידם לזהות קובץ בשם Jsc Sport Live + Brazil World Cup 2014 HD.rar המכיל קובץ נוסף בשם Brazil World Cup Streaming 2014.exe. לדברי החוקרים הקובץ כולל backdoor  אשר זוהה כ-BKDR_BLADABIN.AB המבצע פקודות בהוראת משתמש מרוחק. ביכולת הנוזקה ללכוד תמונות מסך, אשר ניתן להשתמש בהן להשגת מידע רגיש.

 

Gameover ו-Cryptolocker גם בקרב מדינות המפרץ

בכתבה מה-5 יוני נמסר כי לפי חברת Symantec, איחוד האמירויות מדורגת השלישית בעולם בנזק שגרם וירוס אשר פגע במיליון מחשבים והביא לגנבת עשרות מיליוני דולר. Gameover Zeus הדביק בין 40 ל-80 אלף מחשבים באיחוד האמירויות,  חישובים המבוססים על נתוני Symantec מגלים כי 8% מכלל המחשבים שהודבקו בנוזקה זו היו במדינות המפרץ.

מומחים אמרו כי זוהי נוזקה מתוחכמת המסוגלת לחמוק מתוכנות אנטי-וירוס, המדביקה את מחשבו של המשתמש משעה שפתח קובץ PDF או הקיש על קישור בדוא"ל. משעה שהותקנה על המחשב, ביכולת הנוזקה ליירט עסקאות כספיות ולכתוב אותן מחדש כך שהתשלומים ינותבו לחשבונות אחרים. מעבר לכך, נטען כי ביכולתה להסוות תשלומים שלא אושרו כך שדף החשבון נראה תקין.

ארה"ב ואיטליה – בעלי שיעור תפוצה של 13% ו-12% בהתאמה של הנוזקה – נפגעו בצורה החמורה ביותר, 7% מהמקרים התגלו בבריטניה.

עוד נטען כי הנוזקה כה מתוחכמת כי עד כה הצליחו להשביתה שלוש פעמים – ובכלל זה השבוע – מאז הופעתה בשנת 2011, אולם היא עדיין ממשיכה להמציא עצמה מחדש. ה-FBI דיווח שלמשתמשי המחשב יש שבועיים מההשבתה האחרונה כדי לנקות את הדיסקים הקשיחים שלהם ולהתקין תוכנת אנטי-וירוס חדשה בטרם תהיה הנוזקה מבצעית שוב.

היה זה קשה להשביתה הואיל והיא עושה שימוש בתוכנת P2P, כך שגם אם השרת המרכזי מושבת, עדיין המחשבים הנגועים יכולים להמשיך ולתקשר האחד עם השני ולפעול. מחשבים אשר הודבקו בנוזקה זו לעיתים קרובות מארחים נוזקה נוספת בשם Cryptolocker אשר נכנסת לפעולה כאשר הנתונים הפיננסיים של המשתמש אינם נגישים לנוזקה המקורית.

נמסר כי עקבות שתי הנוזקות מובילים לרשת מזרח אירופית. Cryptolocker דורש כופר בן ביטקויין אחד מכל משתמש. לדברי Symantec כ-3% מאלו שמחשביהם הודבקו בנוזקה זו שילמו את הכופר במקום לאבד קבצים, ותשלום הכופר היה מבחינתם הדרך היחידה להשיג גישה לקבצים משעה שהותקפו.

מחלקת המשפטים של ארה"ב האשימה אדם רוסי בשם Evgeniy Mikhailovich Bogachev כמנהיג הכנופיה שמאחורי הנוזקה. עוד נטען כי הכנופיה צברה 100 מיליון דולר באמצעות דרישות כופר שכאלה.

משתמשי מחשב הונחו לעדכן את תוכנות האנטי-וירוס שלהם, לשנות את סיסמאותיהם ולעקוב אחר החשבונות שלהם.

מייל נוסף נושא נוזקה מופץ בישראל

בתאריך 2 יוני הופץ בישראל מייל נוסף נושא נוזקה אשר עניינו צה"ל והחמאס ונשלח לכאורה מאת Sara Listman תחת הכותרת "IDF first steps against Hamas". כתובת הנמען קשורה לכאורה ב-Israel Defense – id1@israeldefense.co.il.

אפליקצית צ'ט מזוייפת גונבת נתונים בנקאיים של המשתמשים

ב-29 מאי דווח כי אפקליציית המסרים הסינית WeChat, אשר לה 355 מיליון משתמשים ברחבי העולם וזוכה לפופולריות השניה רק לזו של Whatsapp, שימשה מטרה של פושעים קיברנטיים להפצת נוזקה אשר נועדה לגנוב נתונים כספיים מהמשתמשים בה. זאת הואיל ולצד החלפת המסרים המידיים בין המשתמשים, מאפשרת האפליקציה תשלום עבור מוצרים או שרותים בה, באמצעות הזנת פרטי חשבון הבנק של המשתמש.

חוקרי מעבדות קספרסקי גילו נוזקה זו המכונה Banker.AndroidOS.Basti.a והנראית בדיוק כמו האפליקציה התיקנית של WeChat למכשירי אנדרואיד. אלו גילו כי חלק מרכיבי הנוזקה מוצפנים, זאת על מנת להקשות על פענוחה, דבר ההופך אותה לשונה ולמתוחכמת מהנוזקות הבנקאיות האחרות. לאחר שהותקנה האפליקציה המתחזה, היא מבקשת מהמשתמש להזין פרטים אישיים ובכלל זה מספרי טלפון, פרטי כרטיס אשראי, קוד סודי ופרטים נוספים. משעה שאלו הוזנו, הם נשלחים לכתובת דוא"ל הנשלטת על ידי מפתח הנוזקה.

החוקרים הצליחו להשיג את כתובת הדוא"ל ואת הסיסמא אשר הוצפנו היטב בנוזקה זו וחדרו כך לחשבון הדוא"ל של התוקפים על מנת לגלות כי משתמשים רבים נפלו ברשתם של פושעים קיברנטיים אלו.

 

כיום האפליקציות הופכות לפופולריות יותר ויותר, הן מהוות חלק אינטגרלי מהטלפונים החכמים המצויים ברשותנו; מבוגרים, בני נוער וילדים. הזמינות הזו, לצד המידע הרב הקיים בהם, הופכים אותם ליעד מועדף הולך וגובר עבור פושעים קיברנטיים לשם גניבת נתונים אישיים, כספיים, תכולת השיחות והמסרונים ואף ביצוע הונאות.

המסקנה העולה ממקרה זה היא כי בעת התקנת אפליקציה כלשהי, בידקו ככל שניתן את מקוריותה, הקפידו לעדכנה לגרסה האחרונה והמנעו ממסירת פרטים מזהים או כספיים שונים.

 

הכתבה נכתבה עבור עמותת אשנ"ב

מייל חדש נושא נוזקה מופץ בישראל

בתאריך 28 מאי בשעה 11:15 נשלח דוא"ל הנושא את הכותרת "לחמאס יש מל"טים בעזה :‎" מאת "יצחק הדרי" ומכתובת הדוא"ל hadariyitzhak@gmail.com. זאת בהמשך לדוא"ל בעל מתכונת דומה אשר נשלח בתאריך 7 מאי.

מדוח מחקרי מפורט שהכין יובל נתיב מחברת MORI.R.T על נוזקה זו עולה כי שני המיילים האחרונים דומים גם מבחינת הנוזקה הכלולה בהם אשר זהה בשניהם. עוד כולל הדוח ניתוח טכני מעמיק של נוזקה זו.

קספרסקי מזהירה מפני אפליקציית אבטחה מתחזה

ב-17 מאי דווח כי חברת קספרסקי מזהירה את משתמשיה מפני נוזקות לטלפונים ניידים המתחזות למוצריה. מהחברה נמסר כי כותבים בלתי מזוהים יצרו אפליקציות המציגות עצמן כשייכות למוצרי קספרסקי, אולם הן מדביקות את המכשירים בנוזקות או שהן לא עושות דבר משעה שנרכשו.

שתי האפליקציות מציגות כעצמן, האחת ב-Google Play והשניה ב-Windows Phone Store תחת השם Kaspersky Anti-Virus 2014, אולם בפועל לחברה יש מוצר אחד למכשירים סלולריים בשם Internet Security for Android הנמכר לכשעצמו או כחלק מחבילת Internet Security Multi-Device. עוד הובהר כי החברה לא מציעה מוצר עבור Windows Phone.

החברה המליצה לאלו אשר התקינו תוכנות אלו להסירן מיידית, שתי התוכנות הוסרו מאתרים אלו.

הפניה לכתבה זו (ולאחרות בנושא) ניתן למצוא בחשבון הטוויטר של חברת קספרסקי;

Capture

כמאה אתרי ממשל בתאילנד נפרצו ושימשו להפצת נוזקות ולהונאות

ב-6 מאי פורסם כי כמאה מאתרי ממשלת תאילנד נפרצו בחודש אפריל ושימשו להפצת נוזקות. למעלה מ-500 התקפות בוצעו מהאתרים שנפרצו, המייצגות כ-85% מכלל נוזקות  אשר התארחו באתרי ממשלה, ברחבי העולם.

כל האתרים היו בעלי סיומת .go.th, שבעה מאלו שנפרצו הם של המשטרה המקומית, אתר הצי היה מעורב בהתקפות מסוג דיוג נגד מחזיקי כרטיסי אשראי של חברת Visa בתחילת חודש מאי. עמוד אשר ככל הנראה הושתל באתר בכוונת תחילה, הפנה את המבקרים בו לאתר המתארח במלאזיה אשר ניסה לגנוב פרטי כרטיסי האשראי.

עוד נמסר כי הסיומת th. מהווה שם המתחם הממוקם רביעית מבחינת הפצת התקפות מסוג דיוג, כמו גם העובדה כי מתוך כ-100 אלף אתרים בעלי סיומת מקומית זו, 310 חסומים על ידי Netcraft. אתרי ממשל סיניים (.gov.cn) ארחו בחודש אפריל את מספר הנוזקות השני בכמותו, תוך הערכה כי למעלה מעשירית מאלו משמשים לארוח נוזקות.

אתרי הממשל של שתי מדינות אלו היוו 95% מכלל הנוזקות המתארחות באתרי ממשלה במהלך חודש אפריל. לשם השוואה, במהלך חודש זה, לא דווחו התקפות של נוזקות מאתרי ממשל בבריטניה וארה"ב.

מייל החשוד כנגוע מופץ בישראל

בשעה 13:34 בתאריך 7 מאי התקבל מייל מהכתובת ys4141@gmail.com הנושאת את השם "ישראל שוורץ‎" ואת הכותרת "תמונות דלפו: ציפי לבני, לקיים יחסי מין עם בכירים ישראליים וערבי‎".

המייל מכיל את הטקסט "תמונות דלפו ציפי לבני, לקיים יחסי מין עם בכירים ישראליים וערבי לקבלת הדרכה 7-5-2014" וכן צרופה של קובץ מסוג RAR הנושאת את השם "תמונות ציפי לבני, לקיים יחסי מין עם אחמים". קובץ זה מכיל קובץ בשם זה בעל סיומת SCR.

אין בו הפעם הראשונה שמיילים נגועים המכילים קבצים בעלי סיומת שכזו נשלחים בעברית בישראל. גל קודם היה במהלך החודשים מרץ-מאי 2013.