חשיפה ישראלית: כך פועלת קבוצת האקרים שמאיימת על המגזר הפיננסי

חברת הסייבר הישראלית סיגניה חשפה היום (ג') פרטים חדשים על קבוצת ההאקרים קסבניירו, שפועלת כבר חמש שנים נגד ארגונים פיננסיים באמריקה הלטינית. עם זאת, מומחים הגדירו את הקבוצה כ-"איום מהותי" על מגזר זה בעולם כולו. בסיגניה אומרים שגם חברות ישראליות חשופות למתקפות של הקבוצה.

צוות החוקרים של סיגניה חשף, בהתבסס על התצפיות והחקירות שביצע באחרונה, כי ההאקרים שמאחורי קמפיין התקיפה של קסבניירו ביצעו כמה שינויים בשיטות התקיפה ובתשתית הטכנולוגית שבה הם משתמשים על מנת לתקוף את היעד. בחברה אומרים כי הם ממשיכים לעקוב אחר פעילות הקבוצה.

איך קסבניירו פועלת?

עמיר סדון, דירקטור מחקר בסיגניה, הסביר כי ההאקרים חברי קסבניירו משתמשים במייל פישינג נגד עובדים ועובדות בארגונים, על מנת לשתול סוס טרויאני, שמאפשר לתוקף לאסוף מידע רגיש ממחשבי הקצה של הארגון. בין היתר, ההאקרים גונבים קבצים מסווגים, צילומי מסך, פרטי משתמש, סיסמאות והקשות מקלדת.

לדברי סדון, "מדובר בקבוצה ותיקה יחסית, שמוכרת עוד מ-2018. כעת אנחנו מזהים שהקבוצה עדיין פעילה, וששיטות הפעולה שלה יחסית דומות לאלה שהיו בעבר, אך כוללות שינויים, בין היתר בדרך הפעולה שבה נשלחים המיילים לנתקפים. בעוד שבגל התקיפות הקודם שלחו ההאקרים מיילים שלכל אחד מהם צורף קובץ PDF נגוע, כעת הם שולחים אותם עם קובץ html לגיטימי לכאורה, שמוביל להתקנת הסוס הטרויאני".

בנוסף, סיגניה פרסמה שהתוקפים החלו להשתמש בשיטה מוכרת להסלמת הרשאות על מחשב הנתקף, וכן כי נמצאו עדויות פורנזיות שמקשרות את גל התקיפות הנוכחי לזה הקודם של הקבוצה.

כדי להתגונן מפני קבוצת התקיפה, סיגניה ממליצה להטמיע את המזהים וחוקי הניטור במערכות ההגנה הארגוניות. בפוסט שהחברה פרסמה היום בבלוג שלה מצורפות רשימות של מזהים (IOCs) ששימשו את קבוצת התקיפה בגל האחרון, וכן כמה חוקי ניטור (YARA), שמאפשרים זיהוי של גרסאות חדשות של כלי התקיפה ושאותם ניתן להטמיע במערכות ההגנה של הארגון. הטמעה של אמצעים אלה עשויה לאפשר לארגון זיהוי מיידי של ניסיונות תקיפה של הרשת הארגונית ובכך למנוע גישה של התוקף לרשת.

מה מצאו חברות אבטחה וסייבר אחרות?

סיגניה היא לא החברה היחידה שחוקרת את קסבניירו ופעילותה. במחקר שפרסמה בחודש אוגוסט האחרון חברת אבטחת מידע וסייבר נוספת, טרליקס (לשעבר מק'אפי), צוין כי קבוצת התקיפה פועלת נגד יעדים בברזיל ובמקסיקו, ומשתמשת לצורך איסוף המידע בשיטות של הנדסה חברתית. המחקר שלה אף מציין כי הנוזקה של קסבניירו ידועה גם בשם Metaformo. על פי טרליקס, "הנוזקה יכולה לאסוף טווח רחב של נתונים, כולל שמות משתמש, מידע על הסיסטם ורשימת התוכנות המותקנות במחשב הקצה".

חברה נוספת, WeLive Security, מציינת שיכולות הדלת האחורית של הנוזקה של קסבניירו טיפוסיות לסוסים טרויאניים שתוקפים את מגזר הבנקאות באמריקה הלטינית. "הנוזקה יכולה לבצע צילומי מסך ולשלוח אותם לשרת השליטה והבקרה שלה, לבצע בעצמה פעולות שמשתמשים מבצעים באמצעות העכבר או המקלדת שלהם, להוריד ולהתקין עדכונים עבורה, להגביל גישה לאתרי אינטרנט מסוימים, ולהוריד ולהפעיל קובצי הפעלה אחרים", כתבו החוקרים.

על פי WeLive Security, הנוזקה גונבת רשימה של מוצרי אנטי וירוס שמותקנים במחשב הקורבן, גרסת מערכת ההפעלה שלו, שם המשתמש, שם המחשב והאם אחת או יותר מהתוכנות הללו מותקנות בו: Diebold Warsaw GAS Technology – אפליקציה שמגינה על גישה לבנקאות אונליין, טראסטיר ואפליקציות בנקאות מסוימות באמריקה הלטינית".