מעבדת קספרסקי חושפת את המגמה החדשה בעולם העבריינות המקוונת – מלחמות ההאקרים

מעבדת קספרסקי תיעדה דוגמא נדירה ויוצאת דופן להתקפה של עבריין רשת אחד על אחר. קבוצת ריגול מקוון קטנה וחסרת יכולות טכניות יוצאות דופן בשם הלסינג (Hellsing), אשר תקפה בעיקר ארגונים ממשלתיים ודיפלומטיים באסיה, הפכה בעצמה, במהלך שנת 2014, קורבן למתקפת פישינג מצד שחקן אחר והחליטה לתקוף חזרה. מעבדת קספרסקי מאמינה כי ייתכן שהדבר מסמל מגמה חדשה בעולם העבריינות המקוונת: מלחמות APT.

 

החשיפה נעשתה על ידי מומחי מעבדת קספרסקי במהלך מחקר לגבי Naikon, קבוצת ריגול סייבר אשר תקפה ארגונים באזור אסיה-פסיפיק. המומחים הבחינו כי אחת ממטרות Naikon איתרה את הניסיון להדביק את המערכות שלה באמצעות דוא"ל פישינג ממוקד אשר נשא קוד זדוני מצורף.

 

המטרה פיקפקה באמינות הדואר האלקטרוני ולא פתחה את הקובץ המצורף. זמן קצר לאחר מכן המטרה הפנתה אל השולח דוא"ל אשר הכיל את אותו קוד זדוני שנשלח אליה. המהלך הדליק נורה במחקר שביצעה מעבדת קספרסקי והוביל לחשיפת קבוצת הריגול המקוון הלסינג. שיטת מתקפת הנגד מצביעה על כך שהלסינג רצתה לזהות את קבוצת Naikon ולאסוף מודיעין לגביה.

 

ניתוח עומק של פעילות הלסינג חשף שורה של הודעות פישינג ממוקדות עם קוד זדוני מצורף, אשר נועדה להפיץ בין ארגונים שונים קוד זדוני לריגול. אם הקורבן פותח את ההודעה הזדונית, המערכת נדבקת בדלת אחורית מותאמת אישית אשר מסוגלת להוריד ולהעלות קבצים, ולעדכן ולהסיר את עצמה. על פי תצפית של מעבדת קספרסקי, מספר הארגונים שהותקפו על ידי הלסינג הוא קרוב ל- 20.

 

המטרות של הלסינג

החברה זיהתה וחסמה קוד זדוני של הלסינג במלזיה, בפיליפינים, הודו, אינדונזיה וארה"ב, כאשר רוב הקורבנות ממוקמים במלזיה ובפיליפינים. התוקפים בררניים מאוד לגבי סוג הארגונים שהם תוקפים, כשהם מנסים לפרוץ בעיקר לישויות ממשלתיות ודיפלומטיות. על פי הניתוח של מעבדת קספרסקי, הלסינג פעילה לפחות מאז 2012 והיא עדיין בשטח.

 

"תקיפת קבוצת Naikon על ידי הלסינג, בסוג של רדיפה נקמנית בסגנון 'האימפריה מכה שנית', היא מרתקת. בעבר, ראינו קבוצות APT פוגעות בטעות אחת בשניה, תוך גניבת רשימת כתובות מהקורבן ולאחר מכן שליחת הודעות המוניות לכל אחד ברשימה. אך כאשר בוחנים את מקור המתקפה, נראה כי כאן מדובר במתקפת APT על APT מכוונת", אמר קוסטין ריאו, מנהל צוות מחקר וניתוח גלובלי של מעבדת קספרסקי.

 

כדי להגן מפני מתקפות הלסינג, מעבדת קספרסקי מספקת את ההמלצות הבסיסיות הבאות:

אל תפתח קבצים מצורפים מאנשים שאינך מכיר
היזהר מקבצי ארכיב המכילים קבצי CSR או סוג אחר של קבצי הפעלה
אם אינך בטוח לגבי קובץ מצורף, פתח אותו ב- sandbox
היה בטוח שיש לך מערכת הפעלה עדכנית עם כל העדכונים מותקנים בה
עדכן אפליקציות צד שלישי, כגון אופיס של מיקרוסופט, ג'אווה, אדובי פלאש ואדובי רידר
מוצרי מעבדת קספרסקי מזהים וחוסמים קוד זדוני המשמש את קבוצות הלסינג ו- Naikon.

כדי ללמוד יותר אודות האיום של הלסינג וקמפיין הריגול "האימפריה מכה שנית" כנסו ל- Securelist

 

 

דילוג לתוכן