$
סייבר ואבטחת מידע

קבוצת ריגול הסייבר Darkhotel מרחיבה התקפות באמצעות פרצות שדלפו מהאקינג טים

אלה כוללים מספר כלי ניצול פרצות בנגן של אדובי פלאש ומערכת ההפעלה חלונות. לפחות אחד מהם זכה לייעוד מחודש על ידי שחקן ריגול הסייבר העוצמתי Darkhotel.

שירות כלכליסט 14:0013.08.15
כתוצאה מהדליפה של Hacking Team –המוכרת כספקית קוד זדוני לרשויות אכיפת החוק וממשלות ברחבי העולם – החלו מספר קבוצות ריגול סייבר להשתמש בכלי הפריצה ש- Hacking Team סיפקה ללקוחותיה. אלה כוללים מספר כלי ניצול פרצות בנגן של אדובי פלאש ומערכת ההפעלה חלונות. לפחות אחד מהם זכה לייעוד מחודש על ידי שחקן ריגול הסייבר העוצמתי Darkhotel.

 

Darkhotel מורכב מצוות עילית לריגול סייבר אשר נחשף על ידי מומחי מעבדת קספרסקי בשנת 2014 בעקבות פריצה לרשתות Wi Fi במלונות יוקרה בעולם כדי לפגוע בבכירים מארגונים שונים. על פי חשיפה חדשה של מומחי קספרסקי, החל מה- 5 ביולי הקבוצה עשתה שימוש בפרצות יום אפס מהאוסף של Hacking Team. לא ברור אם Darkhotel הייתה לקוחה של Hacking Team, אבל נראה שהיא אספה את הקבצים כאשר הם הפכו לזמינים בשטח.

 

זו אינה פרצת יום אפס היחידה של הקבוצה. מעבדת קספרסקי מעריכה כי במהלך השנים האחרונות הקבוצה עשתה שימוש בלפחות כחצי תריסר פרצות יום אפס המכוונות לנגן אדובי פלאש, כנראה תוך השקעה כספית משמעותית בהרחבת הארסנל שלה. ב- 2015, הרחיבה קבוצת Darkhotel את טווח הפעולה הגיאוגרפי שלה ברחבי העולם, תוך שהיא ממשיכה בתקיפות ממוקדות של קורבנות בצפון ודרום קוריאה, רוסיה, יפן, בנגלדש, תאילנד, הודו, מוזמביק וגרמניה.

 

סיוע רוחבי מ- Hacking Team

 

חוקרי האבטחה של מעבדת קסרפסקי זיהו טכניקות ופעילויות חדשות מצד Darkhotel, שחקן התקפות APT מוכר הפעיל כבר כמעט שמונה שנים. בהתקפות המתוארכות ל- 2014 ואף קודם לכן, הקבוצה עשתה שימוש בלתי הוגן בתעודות גנובות לחתימת קוד, והפעילה שיטות ייחודיות כגון פריצה לרשתות Wi Fi של בתי מלון כדי להשתיל כלי ריגול על מערכות המטרה.

 

ב- 2015, רבות מטכניקות ופעולות אלה המשיכו, אך מעבדת קספרסקי גם חשפה סוג חדש של קבצי הפעלה זדוניים, שימוש מתמשך בתעודות גנובות, פעילות הסוואה רציפה עם טכניקות הנדסה חברתית והפעלה של פרצות יום אפס של Hacking Team:

 

שימוש מתמשך בתעודות גנובות. נראה כי קבוצת Darkhotel ממשיכה לשמור על אוסף של תעודות גנובות ומפעילה את מנגנוני ההורדה והדלת האחורית שלהם כשהם חתומים על ידם, כדי להערים על מערכות המטרה. חלק מהתעודות האחרונות שהופעלו כוללות Xuchang Hongguang Technology Co. Ltd. – החברה שבתעודותיה נעשה שימוש במתקפות קודמות של הקבוצה.

 

מתקפות ממוקדות ללא הפסקה. פעילות הריגול Darkhotel היא בהחלט טורדנית: היא מנסה להתמקד במטרה, ואם היא לא מצליחה היא מנסה שוב מספר חודשים לאחר מכן באמצעות שיטה דומה של הנדסה חברתית.

 

הפעלת פרצות יום אפס של Hacking Team. האתר הפגוע, tisone360.com, מכיל מערך של פרצות ודלתות אחוריות, לרבות פרצות יום אפס לפלאש של Hacking Team.

 

"Darkhotel חזרה עם פרצה נוספת של Adobe Flash Player המתארחת על אתר פגוע, והפעם נראה כי היא מבוססת על הדליפה של Hacking Team. הקבוצה סיפקה בעבר פירצה שונה לפלאש על אותו האתר, דבר שדיווחנו עליו כפירצת יום אפס באדובי בינואר 2014. נראה כי Darkhotel שרפה ערימה של פרצות יום אפס וחצי-יום במהלך השנים האחרונות. ייתכן והיא אספה אפילו יותר פרצות כדי לבצע התקפות ממוקדות על בכירים ברמה הבינלאומית. מהתקפות קודמות אנו יודעים כי Darkhotel מרגלת אחר מנכ"לים, סגני נשיא בכירים, מנהלי מכירות ושיווק וצוותי מחקר ופיתוח מובילים", אמר קורט באומגרטנר, חוקר אבטחה ראשי במעבדת קספרסקי.

 

מאז שנה שעברה, הקבוצה עבדה קשה כדי לקדם את טכניקות ההגנה שלה, לדוגמא, באמצעות הרחבת רשימת הטכנולוגיות שלה נגד זיהוי. גרסת 2015 של מוריד הקוד הזדוני של Darkhotel נועד לזהות טכנולוגיות אנטי וירוס מ- 27 ספקים שונים, במטרה לעקוף אותם.

 

מוצרי מעבדת קספרסקי מזהים וחוסמים בהצלחה מודולים חדשים של Dark hotel כ- Trojan.Win32.Darkhotel ו- Trojan Dropper.Win32.Dapato.

כדי ללמוד על דרך הפעולה בקרו ב- Securelist.

 

בטל שלח
    לכל התגובות
    x