הכירו את "כוכב הצפון" של ההאקרים
מק'אפי חשפה את דרכי הפעולה ואת הקורבנות של קמפיין פישינג ממוקד בשם ''כוכב הצפון'', שהופעל נגד מטרות אסטרטגיות בישראל, רוסיה, הודו ואוסטרליה ● בין הקורבנות: שתי כתובות IP של ספקי אינטרנט ישראליים ולפחות מקרה הדבקה אחד בארץ
מחקר חדש שפורסם בימים האחרונים חושף מידע על האופן שבו איתר קמפיין התקיפה כוכב הצפון (North Star) את הקורבנות הפוטנציאליים שלו בארגונים בישראל, אוסטרליה, הודו ורוסיה. את המחקר פרסמה קבוצת מחקרי האיומים המתקדמים של מק'אפי.
על פי ענקית האבטחה, מטרת הגורמים הזדוניים שעמדו מאחורי הקמפיין הייתה לבצע ריגול ארוך טווח ומתמשך, שיתמקד באנשים ספציפיים ממדינות מפתח ברחבי העולם, שמחזיקים בקניין רוחני ובמידע חסוי בעל ערך אסטרטגי במגזר הביטחוני.
התחקיר הראשוני, שפורסם ביולי, חשף קמפיין שהשתמש באתרי מדיה החברתית כדי להוציא לפועל מתקפות פישינג ממוקדות, תוך שימוש במסמכים תמימים למראה, כנגד עובדי ארגונים מהמגזר הביטחוני. בדו"ח הנוכחי מק'אפי חושפת את ההאקרים שביצעו את מתקפת כוכב הצפון ואת דרכי הפעולה שלהם.
באופן כללי, שיטת התקיפה הנפוצה בקמפיין פישינג היא שליחת מיילים למספר רב של יעדים פוטנציאליים. לעומת זאת, בקמפיין כוכב הצפון התמקדו התוקפים באנשים בעלי הערך הגבוה ביותר בארגון. לפני שהם תקפו, הפצחנים הכינו שיעורי בית: הם חקרו אודות קורבנות היעד הספציפיים ופיתחו תכנים מותאמים אישית כדי לפתות אותם. ההאקרים פנו ליעדים שלהם ישירות בלינקדאין ושלחו אליהם קבצים מצורפים מתוחכמים, שהדביקו אותם באמצעות טקטיקת הזרקת תבנית.
יתרה מזאת, תוקפי כוכב הצפון השתמשו במודעות לגיטימיות לגיוס עובדים מאתרים פופולריים של קבלני שירותים ביטחוניים בארצות הברית, כדי לפתות קורבנות ספציפיים לפתוח מיילים שהיו נגועים בנוזקה המושתלת אוטומטית במערכת הארגונית. תיאורי המשרות המפורטים ששימשו לפיתוי הקורבנות, והשימוש הסלקטיבי ברכיב הריגול, מצביעים על כך שהתוקפים חיפשו קניין רוחני מאוד ספציפי ומידע חסוי אחר – שנמצא אצל ספקי טכנולוגיות הגנה מסוימים. קורבנות פחות אטרקטיביים הועברו למוד "פיקוח שקט" לתקופה ממושכת, למקרה שיהיו בעלי ערך רב יותר בהמשך.
כך ההאקרים הדביקו את הקורבנות שלהם
התוקפים השתמשו בדומיינים לגיטימיים מארצות הברית ומאיטליה, כדי לארח את תשתיות השליטה והבקרה של קמפיין הפישינג. הם בחרו בדומיינים של ארגונים כמו חברת הלבשה, בית מכירות פומביות, חברת דפוס וחברת הדרכה בתחום המחשוב. הדבר אפשר להם לעקוף את אמצעי האבטחה של ארגוני היעד, שלא נוהגים לחסום אתרים שנתפסים כמהימנים.
בשלב הראשון של ההדבקה הם העבירו שתל על ידי קובץ DOTM, שלאחר שהותקן במערכת הקורבן אסף עליה נתונים, כגון מידע על הדיסק, שטח דיסק פנוי, שם המחשב, שם המשתמש ואינפורמציה על תהליכים שונים בארגון. לאחר מכן נעשה שימוש בלוגיקה כדי להעריך את נתוני מערכת הקורבן ולקבוע אם להתקין שתל שלב שני בשם Torisma . הפעילות להשגת היעדים בוצעה בצורה מינימלית ושקטה, למזעור הסיכון לגילוי וחשיפה.
Torisma הוא שתל שלב שני שפותח בהתאמה אישית, והתמקד במעקב אחר מערכות מחשב של עובדים בעלי ערך רב לארגון. לאחר שהוא הותקן, הופעלה מערכת פעולות מותאמת אישית לפרופילים של מערכות הקורבן. הפעולות כללו ניטור פעיל של המערכות וביצוע Payloads בהתבסס על אירועים שנצפו – למשל, פיקוח על גידול במספר הכוננים הלוגיים והפעלות שולחן עבודה מרוחק (RDS).
הודעות בקוריאנית, תקיפות (גם) בישראל
הודעות הדיוג נכתבו בקוריאנית וכללו נושאים שנוגעים לפוליטיקה של דרום קוריאה, אך חוקרי מק'אפי זיהו קורבנות נוספים של הקמפיין, ביניהם שתי כתובות IP של ספקי אינטרנט ישראליים, ששמותיהם לא צוינו. בנוסף, הותקפו שני ספקי אינטרנט באוסטרליה וברוסיה ושני קבלני שירותי הגנה בהודו וברוסיה. ניתוח קבצי לוג נוסף שערכו החוקרים העלה כי לפחות קובץ DOTM אחד נגוע של התוקפים עם תוסף jpg, שנפתח, יועד לכתובת IP של ספק אינטרנט מישראל. יש להניח שמדובר בכתובת IP ששייכת לקורבן ישראלי, שהפעיל את קובץ המעקב.
החוקרים לא ייחסו את מתקפת כוכב הצפון לקבוצת פריצה ספציפית. הם קבעו כי הקוד בקבצים המצורפים שנשלחו במסגרת המתקפה זהה כמעט לחלוטין לקוד ששימש את קמפיין הקוברה החבויה (Hidden Cobra), שתקף בשנה שעברה, בצורה ממוקדת, חברות הגנה וחלל מהודו. זה יכול להצביע על אחת משתי דרכי פעולה: או שקבוצת Hidden Cobra עומדת גם מאחורי קמפיין כוכב הצפון, או שקבוצה אחרת העתיקה את הטכנולוגיה והטקטיקה שלה. "ייחוס מדויק דורש השלמת מידע ממקורות מודיעין מסורתיים, הזמינים רק לגורמים ממשלתיים", ציינו במק'אפי.
תגובות
(0)