שמישהו יעצור אותה: "המסיכה" תוקפת ברחבי העולם

זו לא עוד כתבה שסוקרת את הלהיטים הלוהטים לקראת פורים הקרוב: חוקרי קספרסקי (Kaspersky Lab) הודיעו כי גילו את "המסיכה": מפעולות ריגול הסייבר המתקדמות ביותר עד היום.

על פי ענקית האבטחה הרוסית, "המסיכה" (הידוע גם כ- Careto), הוא שחקן בנוף האיומים אשר מעורב בפעילות ריגול סייבר מאז 2007, לפחות. מה שהופך את המסיכה לקמפיין ריגול מיוחד הוא מורכבות מערך הכלים שהופעל על ידי התוקפים: הוא כולל קוד זדוני מתוחכם של Rootkit, bootkit, גרסאות למערכות הפעלה Mac OS X ולינוקס (Linux), וכנראה גם גרסאות עבור אנדרואיד (Android) ו- iOS.

המטרות המרכזיות של פעילות הריגול היו גופים ממשלתיים, משרדים דיפלומטיים ושגרירויות, חברות גז ונפט, ארגוני מחקר ואקטיביסטים. קורבנות של ההתקפה הממוקדת אותרו ב-31 מדינות מסביב לעולם – במזרח התיכון ואירופה, אפריקה ואמריקה.

היעד המרכזי של התוקפים הוא איסוף של מידע רגיש מהמערכות שנפגעו. אלה כוללים מסמכים משרדיים, ואיתם גם מפתחות הצפנה, הגדרות VPN, מפתחות SSH (זיהוי משתמש מול מערכות SSH) וקבצי RDP (המשמשים מערכות שליטה מרחוק כדי לפתוח קישור אוטומטי למחשב).

"ישנם כמה דברים שגורמים לנו להאמין שפעילות זו יכולה להיות ריגול המגובה על ידי מדינה", אמר קוסטין ריו, מנהל צוות מחקר וניתוח בינלאומי בקספרסקי, "בעיקר, זיהינו רמת מקצוענות גבוהה מאוד בצורת העבודה של הקבוצה שמאחורי ההתקפה. מניהול התשתית, דרך הליך סגירת הפעילות, ועד להסתרה מעיניים חטטניות באמצעות חוקי גישה ושימוש בניקוי – במקום מחיקה של קבצי לוג".

"אם לוקחים בחשבון את כל ההיבטים הללו", אמר ריו, "המשמעות היא שמתקפת ה-APT הזו מורכבת ומתוחכמת יותר גם ממתקפת Duqu – מה שהופך אותה לאיום המתקדם ביותר כרגע. רמה שכזו של אבטחת פעילות אינה אופיינית לקבוצות של עברייני סייבר".

חוקרי קספרסקי התוודעו ל-Careto בשנה שעברה, כאשר זיהו ניסיון לנצל פירצה של מוצרי החברה אשר תוקנה כבר לפני חמש שנים. הפירצה אפשרה לקוד הזדוני להימנע מגילוי. הזיהוי הוביל לפתיחת החקירה. לדבריהם, "פגיעתו של Carto יכולה להיות הרסנית. Careto מיירט את כל ערוצי התקשורת ואוסף את המידע החיוני ביותר מהמערכת הפגועה. זיהוי שלו הוא קשה מאוד בגלל יכולות חמקנות rootkit, פונקציות מובנות ומודולים נוספים לריגול סייבר".

מהממצאים מסתמן כי הכותבים הם ממקור דובר ספרדית, ממצא נדיר בהתקפות APT; קמפיין הריגול היה פעיל במהלך 5 השנים האחרונות עד ינואר 2014, כשחלק מהדוגמיות של Careto יוצרו ב- 2007; במהלך החקירה של מעבדת קספרסקי, שרתי הפיקוד והשליטה נסגרו.

"נתקלנו ביותר מ-380 קורבנות לרוחב יותר מ- 1,000 כתובות IP", נמסר בדו"ח. נפגעים אותרו ב: אלג'יריה, ארגנטינה, בלגיה, בוליביה, סין, קולומביה, קוסטה ריקה, קובה, מצריים, צרפת, גרמניה, גיברלטר, גוואטמלה, אירן, לוב, עיראק, מלזיה, מקסיקו, מרוקו, נורווגיה, פקיסטן, פולין, דרום אפריקה, ספרד, שווייץ, טוניסיה, טורקיה, בריטניה, ארה"ב וונצואלה.

"המורכבות והאוניברסליות של מערך הכלים שהופעל על ידי התוקפים", נכתב, "הופכים את פעילות ריגול הסייבר הזו למיוחדת מאוד. הדבר כולל ניצול פרצות בקצה הגבוה, קוד זדוני מתוחכם מאוד, rootkit, bootkit, וגרסאות מערכת ההפעלה של מחשבי מק ושל לינוקס, וכנראה גם גרסאות לאנדרואיד, אייפד ואייפון. 'המסיכה' גם השתמש בהתקפה ייעודית נגד מוצרי מעבדת קספרסקי. בין ערוצי התקיפה נעשה שימוש בלפחות פירצה אחת של אדובי (Adobe) פלאש (Flash)".

קמפיין "המסיכה" הסתמך על פישינג בהודעות דואר אלקטרוני ממוקדות עם קישורים לאתרים זדוניים. האתרים הזדוניים הכילו כמה פרצות שנועדו להדביק את המבקר, בהתבסס על הגדרות מערכת ההפעלה שלו. בעת הדבקה מוצלחת, האתר הזדוני הפנה את הגולש אל האתר שאוזכר בהודעת הדואר האלקטרוני, שיכול להיות סרטון ביו-טיוב (Youtube) או מאמר חדשותי.

האתר המדביק לא עשה זאת באופן אוטומטי. במקום זאת, התוקפים איחסנו את קוד התקיפה בתיקיה מסויימת באתר, אשר לא הייתה משויכת לשום מקום, חוץ מאשר לדואר זדוני. לעיתים, התוקפים השתמשו בכתובות משנה של אתר התקיפה, כדי לגרום להם להיראות אמיתיים יותר. אתרי משנה אלה מדמים אזורי משנה של עיתונים מובילים בספרד וכמה עיתונים בינלאומיים, כגון הגארדיאן (The Guardian) או הוושינגטון פוסט (Washington Post).

הקוד הזדוני יירט את כל ערוצי התקשורת ואסף את המידע החיוני מתוך המערכת הפגועה. הזיהוי שלו הוא קשה מאוד בגלל יכולות חמקניות של rootkit. ה- Careto משתמש במערכת מודולרית מאוד, הוא תומך בתוספים וקבצי הגדרות, המאפשרים לו לבצע מספר גדול של פעולות. בנוסף לפעולות המובנות, המפעילים של Careto יכולים להעלות מודולים נוספים המסוגלים לבצע משימות זדוניות.