האקרים פרצו לבנקים ולארגוני ממשלה וטלקום בישראל – עם נוזקה חמקנית

נחשפה סדרה של התקפות ממוקדות "בלתי נראות", אשר משתמשות בתוכנה לגיטימית ואינן מותירות אחריהן עקבות.

האקרים פרצו ל-140 ארגונים ב-40 מדינות, כולל ישראל – עם הנוזקה החמקנית, כך על פי חוקרי קספרסקי (Kaspersky Lab). לאנשים ומחשבים נודע כי ששת הארגונים הישראליים שנפרצו שייכים למגזר הבנקאות, הטלקום והממשלתי.

הנוזקות הלגיטימיות בהן השתמשו ההאקרים היו כלי בדיקות חדירה וניהול, הזמינים לציבור, וכן בסביבת PowerShell לאוטומציה של משימות במערכת חלונות – ללא הכנסת קבצי קוד זדוני אל הדיסק הקשיח, אלא באמצעות החבאתם בזיכרון בלבד.

מטרת העל: לגשת לתהליכים פיננסים

על פי חוקרי ענקית האבטחה הרוסית, גישה משולבת זו מסייעת למנוע זיהוי על ידי טכנולוגיות של "רשימות לבנות", והיא מותירה את חוקרי הפורנזיקה כמעט ללא ממצאים או דוגמיות של קוד זדוני – שניתן לעבוד איתם. לדבריהם, התוקפים נשארים בסביבה רק למשך הזמן הנדרש כדי לאסוף מידע חיוני, לפני שהם מוחקים את העקבות שלהם מהמערכת – באתחול הבא.

בסוף 2016, כמה בנקים יצרו קשר עם חוקרי מעבדת קספרסקי, אשר מצאו בשרתי הבנקים תוכנה לבדיקות חדירה בשם Meterpreter, שכבר משמשת למטרות זדוניות, ואשר לא הייתה אמורה להימצא שם.

הם חשפו כי קוד Meterpreter שולב עם מספר סקריפטים לגיטימיים של PowerShell וכלים אחרים. השילוב בין הכלים נעשה כדי ליצור קוד זדוני, אשר יכול להתחבא בזיכרון ולאסוף סיסמאות של מנהלי מערכת – מבלי להתגלות. כך, התוקפים יכלו לשלוט מרחוק במערכות הקורבן. נראה כי מטרת העל הייתה לגשת לתהליכים פיננסים, העריכו החוקרים.

במהלך הבדיקה גילו חוקרי קספרסקי כי התקפות אלו התרחשו בהיקף נרחב: הן פגעו ביותר מ-140 רשתות תקשורת ומחשבים בארגונים ממגוון מגזרים עסקיים. רוב הקורבנות ממוקמים בארצות הברית, צרפת, אקוודור, קניה, בריטניה ורוסיה, וגם בישראל. בסך הכל נרשמו הדבקות ב-40 מדינות.

החוקרים ציינו כי לא ידוע מי עומד מאחורי ההתקפות. השימוש בקוד פתוח לפריצה, השימוש בכלים נפוצים של חלונות והדומיינים שאינם מוכרים, הם שלושה מדדים אשר מקשים מאוד על היכולת לקבוע מי הקבוצה האחראית להתקפות. הם אף ציינו כי קשה לקבוע האם מדובר בקבוצה יחידה או כמה קבוצות של האקרים, החולקות את אותם הכלים.

חילוץ מוצלח של נתונים מהרשת

קבוצות ידועות שנקטו בגישות דומות בעבר הן GCMAN ו- Carbanak. זו האחרונה היא כנופיה בינלאומית, שמורכבת מהאקרים מרוסיה, אוקראינה ומדינות נוספות באירופה, עם שותפים מסין. היא עלתה לכותרות לפני כשנתיים כאשר נחשף בפעולה משותפת של האינטרפול, היורופול, רשויות אכיפה ממדינות שונות וקספרסקי – כי אנשיה גנבו במשך שנתיים סכום של מיליארד דולר מ-100 מוסדות פיננסיים ברחבי העולם.

הכלים החמקניים בהם נעשה שימוש בתקיפה שנחשפה בימים אלה, ציינו החוקרים, "מקשים על חשיפת פרטי ההתקפה. התהליך הרגיל שמבצע חוקר במהלך תגובה לאירוע, הוא לעקוב אחר עקבות ודוגמיות שהושארו ברשת על ידי התוקפים. אך בעוד שנתונים בדיסק קשיח יכולים להישאר זמינים גם שנה אחרי האירוע, עקבות המסתתרים בזיכרון יימחקו באתחול הראשון של המחשב". למרבה המזל, במקרה זה, המומחים הגיעו אליהם בזמן.

לדברי סרגיי גולבנוב, חוקר אבטחה ראשי, קספרסקי, "הנחישות של התוקפים להסתיר את הפעילות שלהם ולהפוך את הזיהוי והתגובה לאירוע – לקשים בהרבה, מסבירה את המגמה האחרונה של שימוש בטכניקות נוגדות-פורנזיקה ושל קוד זדוני מבוסס זיכרון. זו הסיבה שחקירת זיכרון הופכת לחיונית לשם ניתוח קוד זדוני והמרכיבים שלו".

"באירועים מיוחדים אלה, התוקפים השתמשו בכל שיטה אפשרית נגד פורנזיקה, כשהם מראים כיצד אין צורך בקובץ כלשהו של קוד זדוני, כדי לערוך חילוץ מוצלח של נתונים מהרשת, וכיצד השימוש בכלים לגיטימיים ובקוד פתוח – הופכים את ייחוס ההתקפה לכמעט בלתי אפשרי". גולבנוב הוסיף כי התוקפים עדיין פעילים.