נחשפה רוגלה חדשה ומתוחכמת – מייד אין צ'יינה

על פי חוקרי פאלו אלטו, לקבוצת הריגול שמשתמשת בתוכנה, שזכתה לכינוי BendyBear, יש קשר למשטר הסיני ● התחכום שלה מתבטא בשינויים שהיא עוברת אחרי החדירה ובכלים שהיא מפעילה כדי להסתיר את נוכחותה במערכות שנפרצות

שוב הסינים, לפחות לפי ממשל ביידן. צילום אילוסטרציה: BigStock

נחשפה BendyBear – נוזקה מתוחכמת ביותר שמקורה בסין ואשר שימשה בידי קבוצת מרגלי הסייבר הקרויה BlackTech. את הנוזקה חשפו השבוע אנשי יחידה 42 – צוות איומי הסייבר של פאלו אלטו.

רבים בקהילת המחקר של איומי הסייבר מעריכים שיש לקבוצה קשרים עמוקים עם המשטר הסיני. על פי ציוץ של סייברקום, מפקדת הסייבר של צבא ארצות הברית, הנוזקה חשודה ככזו שהופעלה לצורך חדירות לגופי ממשל בדרום מזרח אסיה – מזה כעשור.

BendyBear הוא משחק מילים בין "שטן" ובובה בשם זה. לפי החוקרים, הנוזקה היא וריאנט של הנוזקה WaterBear, שמוכרת ופעילה מאז 2009. על פי ניתוח קודם, שבוצע על ידי טרנד מיקרו, WaterBear הוא שתל רב גוני המסוגל להעביר קבצים, לגשת למעטפת, ללכוד מסך ועוד.

התוכנה הזדונית החדשה פועלת בשיטה של החדרת קוד ייעודי (Shellcode), ש-"פותח את הדלת" להורדת מטען רחב יותר של קבצים זדוניים למערכות שנפרצו – יותר מ-10 מגה-בייט, שעימם משתלטת הנוזקה על שרתי פיקוד ובקרה (C2) ועוד. לפי הניתוח של טרנד מיקרו, הנוזקה היא מרובת יכולות מגוונות, המסוגלת להעביר קבצים, ללכוד מסכים ועוד.

מהי הייחודיות של הנוזקה?

חוקרי יחידה 42 מצאו שמה שהופך אותה למסוכנת וייחודית הוא השינוי שהיא עוברת לאחר החדירה, כמו גם העובדה שהיא משתמשת בהצפנה אלגוריתמית כדי להתחמק מזיהוי על ידי תוכנות ניטור שונות. בנוסף, מפתחי BendyBear הנדסו את התוכנה כך שהיא טוענת את מטען הקבצים הזדוניים לזיכרון – ולא לדיסק, כדי לא להשאיר עקבות דיגיטליים של הפריצה. בהמשך, היא משתמשת בדרכים מתוחכמות נוספות כדי לחמוק מזיהוי, מה שהופך את איתורה לקשה מאוד. בין היתר, היא מסתירה את התקשורת שלה עם שרתי הפיקוד והבקרה, ומסתתרת מאחורי תקשורת שנראית תמימה ושגרתית.

בבלוג החברה כתבו חוקרי פאלו אלטו כי "אנחנו מפרסמים תובנות ראשוניות בנושא  BendyBear ונתונים נוספים, בשיתוף פעולה עם גורמים ממשלתיים ותעשייתיים אמינים. זאת, במטרה לעצור את התפשטות הנוזקה ולצמצם את הפגיעה שלה בחברות. יחד עם זאת, וחרף המלחמה המתמשכת שלנו בנושא, ארגונים צריכים להיות ערניים כלפי תוקפים המשתמשים בטקטיקות שונות, כדי להסתיר את זהותם, כפי שקרה במקרה הנודע של סולארווינדס".

החוקרים משערים שהמוטיבציה לפיתוח BendyBear היא ריגול. על מנת לתת מענה לקוד הזדוני, פאלו אלטו סיפקה מידע המאפשר זיהוי של חדירת הקוד (Indicators of Compromise) ונתונים אחרים שמאפשרים לארגונים לקבוע אם הם נפגעו על ידיBendyBear  ולחסום תקיפות עתידיות.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים