התגלתה קבוצת האקרים ערבים שתוקפת מכשירי PC ואנדרואיד בישראל
קבוצת "בזי המדבר" תקפה יותר מ-3,000 קורבנות, בעיקר במזרח התיכון ● היא עשתה זאת באמצעות פישינג, החלפת סיומות בשמות קבצים ושימוש בדלתות אחוריות ● מומחי קספרסקי: הם עדיין פעילים
קמפיין מתקפות סייבר בן כשנתיים על יעדים במזרח התיכון, ובכלל זה בישראל, נחשף באחרונה על ידי מעבדות המחקר של קספרסקי (Kaspersky). המתקפות בוצעו על ידי קבוצת ריגול מקוון שמכנה את עצמה Desert Falcons – בזי המדבר. חבריה תוקפים ארגונים ויחידים בעלי פרופיל גבוה ממדינות המזרח התיכון, בהם גופים ממשלתיים וצבאיים.
על פי החוקרים, בזי המדבר החלו לפתח ולבנות את הפעילות שלהם ב-2011, כשהקמפיין המרכזי וההדבקות הממשיות הראשונות החלו ב-2013. שיא הפעילות שלהם נרשם בתחילת השנה הנוכחית. הם מצאו כי רוב המטרות של התוקפים נמצאות במצרים, הרשות הפלסטינית, ישראל וירדן, אולם הם "צדים" גם במדינות אחרות בעולם. בסך הכול, הם הצליחו לתקוף יותר מ-3,000 קורבנות ב-50 מדינות וגנבו יותר ממיליון קבצים.
מומחי קספרסקי טוענים כי בזי המדבר הם שחקן ריגול הסייבר הערבי הראשון שמפתח ומריץ קמפיינים מלאים לשם כך. לפי הערכתם, מדובר בבערך 30 אנשים שפועלים בשלושה צוותים.
איך בוצעה התקיפה?
ההאקרים ניצלו כלים זדוניים בפיתוח עצמי לתקיפה של מחשבי PC ומכשירי אנדרואיד, בעיקר באמצעות פישינג ממוקד שבוצע דרך אי-מיילים והודעות במדיה החברתית ובצ'אטים. הודעות הפישינג התחזו למסמכים ואפליקציות לגיטימיים.
בזי המדבר השתמשו במספר טכניקות כדי לגרום לקורבנות להפעיל את הקבצים הזדוניים. אחת הטכניקות האלה הייתה הטריק הידוע בשמו "עקיפת סיומת מימין לשמאל" – שיטה שמנצלת תווים ייחודיים ב-Unicode להפיכת סדר התווים בשם הקובץ, כדי להחביא סיומות באמצע שם הקובץ ולהשתיל במקומו סיומת מזויפת אולם תמימה למראה. בשימוש בטכניקה זו, קבצים זדוניים ייראו כמסמכים או קבצי PDF בלתי מזיקים ועלולים להפיל בפח אפילו משתמשים זהירים, בעלי ידע טכני טוב.
לאחר ההדבקה המוצלחת של הקורבן, בזי המדבר משתמשים באחת משתי דלתות אחוריות: בסוס הטרויאני המרכזי שלהם או בדלת אחורית DHS. נראה ששניהם פותחו מאפס ופיתוחם עדיין נמשך. מומחי מעבדת קספרסקי הצליחו לזהות סך של יותר מ-100 דוגמיות קוד זדוני ששימשו את הקבוצה במתקפות.
"ייתכן שמאחורי ההאקרים עומדת מדינה"
מקספרסקי נמסר כי "למומחים יש מספר סיבות להאמין כי התוקפים מאחורי בזי המדבר הם דוברי ערבית במקורם. פרופיל המטרות והמוטיבציה הפוליטית מאחורי בחירתן אף עשויים לרמז כי מאחורי הפעילות עומדת מדינה".
דמיטרי בסטוזב, מומחה אבטחה בצוות המחקר והניתוח הבינלאומי של מעבדת קספרסקי, אמר כי "האנשים שמאחורי האיום הזה הם נחושים ביותר, פעילים ובעלי יכולת טכנית טובה והבנה פוליטית ותרבותית. באמצעות שימוש אך ורק בפישינג בדואר אקלטרוני, הנדסה חברתית ובכלים שפיתחו בעצמם, בזי המדבר הצליחו לפגוע במאות קורבנות רגישים וחשובים באזור המזרח התיכון, דרך מערכות המחשבים והמכשירים הניידים שלהם, ולחלץ מידע רגיש. אנחנו צופים כי פעילות זו תמשיך לפתח טרויאנים נוספים ולהשתמש בטכניקות מתקדמות יותר. במימון מספיק, הם יכולים לרכוש או לפתח פרצות שיגבירו את יעילות ההתקפות שלהם".
תגובות
(0)