מתקפת ריגול קיברנטית פגעה בגופי ממשל בעולם ובאתרים ברשות הפלסטינית

אתרי אינטרנט ברשות הפלסטינית וסוכנויות ביון וגופי ממשל ברחבי העולם נפלו קורבן לקמפיין הריגול Turla, שידוע גם בשמות Snake או Uroburos – כך עולה מדו"ח חדש של קספרסקי (Kaspersky). על פי ענקית האבטחה הרוסית, מדובר באחת מפעילויות ריגול הסייבר המתוחכמות ביותר שעדיין פועלות.

מחקר ראשוני אודות האיום פורסם במרץ השנה, אולם אז עדיין לא היה ברור כיצד הודבקו הקורבנות. כעת, מחקר עדכני של קספרסקי מגלה כי מדובר בשלב הראשוני במכניזם ההדבקה של Turla.

על פי ענקית האבטחה, מדובר בחלק מפרויקט Epic, שפועל לפחות מאז 2012 כדי לפגוע במגוון מטרות, כשרמות הפעילות הגבוהות ביותר נרשמו בחודשים ינואר-פברואר השנה. קספרסקי אף זיהתה מתקפה מסוג זה אצל אחד מלקוחותיה בשבוע שעבר. הגופים העיקריים שהיוו ומהווים יעד לתוקפים הם גופי ממשל – משרדי פנים, משרדי סחר, משרדי חוץ וסוכנויות ביון – שגרירויות, צבאות, ארגוני מחקר ואקדמיה, וחברות פארמה. רוב הקורבנות ממוקמים במזרח התיכון ובאירופה, כולל ברשות הפלסטינית, אך החוקרים איתרו כמה קורבנות גם באזורים אחרים, למשל בארצות הברית. בסך הכול, החוקרים עלו על כמה מאות כתובות IP של קורבנות המפוזרים ביותר מ-45 מדינות. המדינה שסבלה ממספר ההדבקות הגבוה ביותר היא צרפת.

הממצאים שהשיגו חוקרי קספרסקי מעלים כי תוקפי Epic Turla פגעו בקורבנות באמצעות מתקפות יום אפס, הנדסה חברתית וטכניקות בורות השקיה.

הם גילו שתי מתקפות יום אפס: אחת הייתה פרצה של EOP (ר"ת Escalation of Privileges) בחלונות XP ובשרת חלונות 2003 (CVE-2013-5065), שמאפשרת ל-Epic ליצור דלת אחורית עם הרשאות ברמת מנהל מערכת, ולרוץ ללא הפרעה. הפרצה השנייה נמצאה באדובי רידר (CVE-2013-3346), שנמצאת בשימוש בקבצים מצורפים לדואר אלקטרוני. במקרים של מתקפות כאלה, בכל פעם שמשתמש שאינו ערני פותח קובץ PDF עם קוד זדוני על גבי מערכת פגיעה, המכונה תידבק באופן אוטומטי, ותאפשר לתוקף לקבל שליטה מלאה ומיידית על המערכת, נמסר מקספרסקי. כך, הם ביצעו מתקפות פישינג ממוקדות בדואר אלקטרוני באמצעות פרצה ב-PDF.

התוקפים השתמשו בהנדסה חברתית כדי לגרום למשתמשים להפעיל מתקיני קוד זדוני עם סיומת SCR, שלעתים נארזים בתוך RAR.

מתקפות בורות ההשקיה בוצעו באמצעות פרצת ג'אווה (Java), דרך פרצה בפלאש (Flash) של אדובי (Adobe) או באמצעות אקספלורר 6, 7 או 8. הם ביצעו בנוסף מתקפות בורות השקיה המסתמכות על הנדסה חברתית, כדי להוביל משתמשים להרצת מתקיני נגני פלאש מזויפים וזדוניים.

החוקרים הסבירו כי בורות השקיה הם אתרים שהקורבנות הפוטנציאליים נוהגים לגלוש אליהם. אתרים אלה נפרצים במתקפות מתקדמות והפורצים מזריקים אליהם קוד זדוני. בהסתמך על כתובת ה-IP של המבקר (לדוגמה, כתובת IP של ארגון ממשלתי) התוקפים מפעילים התקפות על פרצות בג'אווה או בדפדפן, נגן פלאש מזויף או גרסה מזויפת של Microsoft Security Essentials. בסך הכול, החוקרים זיהו יותר מ-100 אתרים שהוזרק בהם קוד זדוני.

ברגע שהמשתמש נדבק, הדלת האחורית של Epic מתחברת מיידית לשרתי הפיקוד והשליטה (C&C) כדי לשלוח חבילת נתונים על מערכת הקורבן. דלת אחורית זו גם ידועה כ-WorldCupSec ,TadjMakhal ,Wipbot או Tavdig.

ברגע שהמערכת נפגעת, התוקפים מקבלים סיכום קצר של נתונים על הקורבן, ובהתבסס על כך הם מספקים חבילת קבצים מוגדרת מראש, שמכילה סדרה של פקודות להפעלה. נוסף למתקפות אלה, הפורצים מעלים כלים לתנועה רוחבית: כלי Keylogger ייעודי, ארכיב RAR וכלים סטנדרטיים כגון כלי של מיקרוסופט (Microsoft) לשאילתא ב-DNS.

קוסטין ראיו, מנהל צוות מחקר וניתוח גלובלי בקספרסקי, אמר כי "אנחנו מתמודדים עם הדבקה מרובת שלבים, שמתחילה עם Epic Turla. היא משמשת כדי להשיג דריסת רגל ולאמת את הפרופיל של הקורבן ואם הקורבן מעניין, הוא משודרג למערכת ה-Turla Carbon המלאה".