הטרויאני בשם "אוקטופוס" שמתחזה לגרסה של טלגרם ומספק לתוקפים גישה מרחוק למחשבי הקורבן.

קבוצת ריגול סייבר דוברת רוסית מנצלת את השמועות על האיסור בטלגרם כדי ליזום התקפות ממוקדות על גופים דיפלומטיים באסיה

חוקרי מעבדת קספרסקי חשפו גל של מתקפות ריגול סייבר ממוקדות של קבוצה דוברת רוסית כנגד ארגונים דיפלומטיים במרכז אסיה. הטרויאני בשם "אוקטופוס" שמתחזה לגרסה של טלגרם ומספק לתוקפים גישה מרחוק למחשבי הקורבן, פגע במשתמשים על רקע  השמועות שנפוצו באחרונה במרכז אסיה על איסור צפוי בשימוש בתוכנת טלגרם.

 

גורמי איום מחפשים בהתמדה אחר מגמות אותן ניתן לנצל לצורך פגיעה בפרטיות משתמשים ולאיסוף מידע רגיש ברחבי העולם. במקרה הזה, האיסור על שימוש בתוכנת טלגרם שעלול להתממש בקרוב, אפשר לגורמי האיום לתכנן התקפות המבוססות על הטרויאני אוקטופוס.

 

בין הנפגעים היו גורמי אופוזיציה קזחסטנים שהטרויאני נשלח אליהם בתוך ארכיב קבצים המחופש לגרסה חלופית של טלגרם. קובץ ההפעלה הסתווה באמצעות סמל מוכר של אחת ממפלגות האופוזיציה באזור, והטרויאני הוחבא בפנים. ברגע שהופעל, הטרויאני סיפק לתוקפים הזדמנות לבצע מגוון פעולות עם הנתונים שבמחשב הנגוע, לרבות מחיקה, חסימה, שינוי, העתקה והורדה. באמצעותו, התוקפים היו מסוגלים לרגל אחר קורבנות, לגנוב נתונים רגישים ולהשיג גישה אחורית למערכות. דרך הפעולה מכילה מאפיינים דומים לפעילות הריגול הידועה Zoo Park, במסגרתה הקוד הזדוני ששימש ל-APT חיקה את אפליקציית טלגרם על מנת לרגל אחר קורבנות.

 

חוקרי קספרסקי זיהו דימיון בקוד התוכנה וחשפו כי אוקטופוס יכול להיות קשור ל- DustSquad – קבוצת ריגול סייבר דוברת רוסית הפועלת מאז שנת 2014, במדינות ברית המועצות לשעבר ובמרכז אסיה, וכן באפגניסטן. במהלך השנתיים האחרונות החוקרים זיהו ארבעה קמפיינים של הקבוצה עם קוד זדוני ייחודי לאנדרואיד ולמערכת חלונות אשר כוון כנגד משתמשים פרטיים וגופים דיפלומטיים.

 

"ב- 2018 ראינו הרבה גורמי איום הפועלים כנגד ישויות דיפלומטיות במרכז אסיה. DustSquad פעלה באזור במהלך השנים האחרונות ויכולה גם להיות הקבוצה שמאחורי האיום החדש. נראה כי העניין בפעילות הסייבר בחלק זה של העולם צומח בהתמדה. אנו מייעצים למשתמשים ולארגונים באזור לפקוח עין על המערכות שלהם ולהורות גם לעובדים לעשות זאת", אמר דניס לגזו, חוקר אבטחה במעבדת קספרסקי.

 

כדי להפחית את הסיכון מהתקפות סייבר מתוחכמות, מעבדת קספרסקי ממליצה על הצעדים הבאים:

·         ללמד את הצוות כיצד לזהות אפליקציות או קבצים שעלולים להיות זדוניים, ולהימנע מהורדה והפעלה של כל אפליקציה או תוכנה ממקור בלתי אמין או שאינו מוכר.

·         להשתמש בפתרון אבטחה עוצמתי לנקודות קצה, עם יכולת לשליטה באפליקציות אשר מגבילה את היכולת להפעיל אפליקציות או לגשת למשאבים חיוניים במערכת.

·         להטמיע מערך של פתרונות וטכנולוגיות כנגד התקפות ממוקדות, כגון Kaspersky Anti Targeted Attack Platform ו-Kaspersky EDR. אלה יכולים לסייע בזיהוי של פעילות זדונית לרוחב הרשת, חקירה שלה, ותגובה באמצעות חסימת ההתקדמות של ההתקפה.

·         להבטיח כי לצוות האבטחה יש גישה למודיעין איומים מקצועי.

דילוג לתוכן