נבלם כלי סייבר חדש שתקף ארגונים במזרח התיכון

סדרה של מתקפות סייבר ממוקדות, שתקפה באחרונה שורה של ארגונים במזרח התיכון, זוהתה על ידי מעבדות קספרסקי – ונבלמה. מדיווח של החברה עולה כי המתקפות התבצעו באמצעות נוזקה חדשה, שמנצלת פרצת יום אפס ב-Windows. מטרת המתקפה הייתה להשיג גישה קבועה למערכות של הקורבנות – כולם מאזורנו. מספר הארגונים שהותקפו היה 12, ולא נמסר כמה מהם היו מישראל, אם בכלל.

טכנולוגיית מניעת הפרצות האוטומטית של ענקית האבטחה היא שזיהתה את המתקפות. הפרצה נסגרה בעדכון של מיקרוסופט שיצא ב-9 באוקטובר, לאחר שחוקרי מעבדת קספרסקי דיווחו לה אודותיה.

בין המתקפות המסוכנות ביותר

מתקפות באמצעות פרצות יום אפס הן בין הצורות המסוכנות ביותר של איומי סייבר, מכיוון שהן מסתמכות על ניצול של פגיעויות שעדיין לא נחשפו ותוקנו. אם ה-"רעים" הם הראשונים לגלות את הפרצה, הדבר עלול לשמש ליצירת כלי פריצה שיספק גישה מלאה למערכת. תרחיש כזה נפוץ במתקפות מסוג APT – מתקפות ריגול מתמשכות ועקביות, המגיעות מצד שחקנים מתוחכמים, כמו במקרה הנוכחי.

כלי הפריצה הנוכחי הוחדר לקורבנות דרך דלת אחורית מסוג PowerShell. לאחר מכן הוא הופעל כדי להשיג את ההרשאות הנדרשות לבניית נוכחות קבועה במערכת הקורבן. הנוזקה נכתבה באיכות גבוהה ובמטרה לאפשר ניצול אמין של גרסאות רבות ככל האפשר של Windows.

החשד הוא שהתוקף קשור לקבוצת FruityArmor, מאחר שדלת ה-Powershell נמצאה בעבר בשימוש בלעדי בידי הקבוצה הזו.

"בכל הנוגע לפרצות יום אפס, חיוני לנטר באופן אקטיבי את אופק האיומים אחר כלי פריצה חדשים", אמר אנטון איבאנוב, מומחה אבטחת מידע בקספרסקי. "מחקר האיומים השוטף שאנחנו מבצעים נועד לא רק כדי לחשוף התקפות חדשות ולקבוע מהן המטרות של שחקני סייבר שונים, אלא גם כדי ללמוד באילו טכנולוגיות העבריינים האלה משתמשים. כתוצאה מהמחקר שלנו בנינו שכבת יסוד של טכנולוגיות זיהוי המאפשרת למנוע מתקפות, כמו המתקפה שזיהינו כעת".