אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר.
מעבדת קספרסקי חושפת את קבוצת Ghoul: שחקן חדש המשתמש בקוד זדוני מהמדף במצוד אחר ארגוני תעשייה והנדסה

מעבדת קספרסקי חושפת את קבוצת Ghoul: שחקן חדש המשתמש בקוד זדוני מהמדף במצוד אחר ארגוני תעשייה והנדסה

צוות המחקר והניתוח הבינלאומי של מעבדת קספרסקי חשף קמפיין פישינג זדוני המתמקד במגזרי תעשייה והנדסה ברחבי העולם

21.08.2016, 11:10 | מערכת כלכליסט
צוות המחקר והניתוח הבינלאומי של מעבדת קספרסקי חשף גל חדש של התקפות ממוקדות על מגזרי תעשייה והנדסה במספר מדינות ברחבי העולם. באמצעות שימוש בהודעות פישינג ממוקדות וקוד זדוני המבוסס על כלי ריגול מסחריים, העבריינים יוצאים במצוד אחר נתונים עסקיים רבי ערך המאוחסנים ברשתות של הקורבנות שלהם. בסך הכל למעלה מ- 130 ארגונים ב- 30 מדינות, כולל ספרד, פקיסטן, איחוד האמירויות, פקיסטן, הודו, מצרים, בריטניה, גרמניה וערב הסעודית, נמצאים ברשימת הקורבנות של הקבוצה.

ביוני 2016, חוקרי מעבדת קספרסקי זיהו גל של הודעות פישינג ממוקדות עם קבצים זדוניים מצורפים. הודעות אלה נשלחו בעיקר למנהלים בכירים ולרמות ביניים במספר חברות. ההודעות שנשלחו על ידי התוקפים נראו כאילו הן מגיעות מבנק באיחוד האמירויות: הן התחזו להצעת תשלום מהבנק עם מסמכי SWIFT מצורפים, אבל במציאות קובץ הארכיב המצורף הכיל קוד זדוני.

חקירה נוספת שקיימו חוקרי מעבדת קספרסקי הראתה כי קמפיין הפישינג הזדוני הממוקד כנראה אורגן על ידי קבוצת עברייני סייבר שכבר הייתה במעקב של חוקרי החברה מאז מרץ 2015. נראה היה כי התקפות חודש יוני היו חלק ממבצע חדש שערכה הקבוצה.

הקובץ הזדוני שצורף לקמפיין מבוסס על כלי הריגול המסחרי HawkEye אשר נמכר באופן חופשי ב- Darkweb, ומספק לתוקפים כלים שונים. לאחר ההתקנה הוא אוסף נתונים מעניינים ממחשבי הקורבן, כולל:

• הקשות מקלדת

• נתוני קליפבורד

• הרשאות לשרת FTP

• נתוני חשבון מדפדפנים

• נתוני חשבון מתוכנות דואר אלקטרוני (אאוטלוק, חלונות לייב מייל ועוד)

• מידע אודות אפליקציות מותקנות (מיקרוסופט אופיס)

לאחר מכן הנתונים נשלחים לשרתי הפיקוד והשליטה של הקבוצה. בהתבסס על נתונים שהתקבלו מ"בולענים" (Sinkhole) של חלק משרתי הפיקוד והשליטה, רוב הקורבנות הם ארגונים העובדים במגזר התעשייתי או ההנדסי. ארגונים אחרים קשורים למגזרי שוק כדוגמת ספנות, פארמה, ייצור, חברות סחר, מוסדות השכלה וגופים נוספים.

כל החברות שהותקפו מחזיקות מידע יקר ערך אשר ניתן למכור בשוק השחור – רווח כספי הוא המניע המרכזי של התוקפים שמאחורי Guoul. המבצע שקיבל את שמו על ידי חוקרי מעבדת קספרסקי הוא רק אחד ממספר קמפיינים שלכאורה נשלטים על ידי אותה הקבוצה. הקבוצה עדיין פעילה.

"בפולקלור העתיק, Ghoul היא רוח רעה שמיחסים לה אכילת בשר אדם ורדיפה אחר ילדים, במקור היא שד מסופוטמי. כיום, המונח Ghoul משמש לעיתים כדי לתאר אנשים חומרניים או תאווי בצע. זהו תיאור די מדויק של הקבוצה שמאחורי מבצע זה. המוטיבציה המרכזית שלה היא רווח פיננסי המגיע ממכירה של נכסים אינטלקטואליים או ממודיעין עסקי, או מהתקפה על חשבונות בנק של הקורבנות. בשונה משחקנים מגובי מדינה, שהמטרות שלהם נבחרות בקפידה, קבוצה זו והדומות לה עלולות לתקוף כל חברה. למרות שהם משתמשים בכלים זדוניים פשוטים יחסית, ההתקפות שלהם יעילות מאוד. לכן, חברות שאינן ערוכות כדי לזהות מתקפות שכאלה כנראה יסבלו מהן", אמר מוחמד אמין חסיבני, מומחה אבטחה, מעבדת קספרסקי.

כדי להתגונן מפני מבצע Ghoul ומאיומים דומים, חוקרי מעבדת קספרסקי ממליצים לעסקים להטמיע את האמצעים הבאים:

• לימוד הצוות כדי שיוכל להבחין בין הודעת פישינג ממוקד או קישור פישינג לבין הודעות אמיתיות וקישורים

• שימוש בפתרון אבטחה מוכח לרמה ארגונית, בשילוב פתרונות נגד התקפות שאינן ממוקדות, המסוגלים לזהות התקפות באמצעות ניתוח פעילות חריגה ברשת.

• מתן גישה של צוות האבטחה למודיעין האיומים העדכני ביותר, אשר יחמש אותם בכלים חשובים למניעת וזיהוי התקפות נקודתיות, כגון סימנים לפגיעה וחוקי YARA.

מוצרי מעבדת קספרסקי מזהים קוד זדוני של הקבוצה שמאחורי Ghoul תחת השמות הבאים:

• Trojan.MSIL.ShopBot.ww

• Trojan.Win32.Fsysna.dfah

• Trojan.Win32.Generic

למידע נוסף על הקבוצה, ראו כאן

תגיות