נחשף פרוייקט הריגול הענק, "מבצע מסיכה"
11 פברואר, 2014
"מדובר בקמפיין ריגול המגובה על-ידי מדינה. זיהינו רמת מקצוענות גבוהה מאוד: מניהול התשתית, דרך הליך סגירת הפעילות, ועד להסתרה מעיניים חטטניות באמצעות חוקי גישה ושימוש בניקוי במקום מחיקה של קבצי לוג"
הכותבים העומדים מאחורי מבצע הריגול הם כנראה ממקור דובר ספרדית
מבצע ריגול רחב היקף שהתנהל ככל הנראה על-ידי דינה נחשף לאחרונה על-ידי צוות המחקר של מעבדת קספרסקי. הצוות הכריז על חשיפת גורם חדש בשם "מסיכה" (הידוע גם בכינוי Careto), שלפי ההערכות מעורב בריגול אקטיבי אינטנסיבי מאז 2007 לפחות.
מדובר בקמפיין ריגול יוצא דופן במורכבותו ובמערך הכלים שהופעל על ידי התוקפים. הוא כולל קודים זדוניים מתוחכמים מאוד של bootkit ו-Rootkit, גרסאות ייעודיות לתקיפת מערכות ההפעלה Mac OS X ולינוקס, וכנראה גם גרסאות עבור אנדרואיד ו- iOS (אייפד ואייפון).
הקמפיין קיבל את הכינוי מסיכה, מכיוון שבחלק מהתוכנות העויינות, המתכנתים של הקמפיין השתילו את המילה Careto, שפירושה הוא מסיכה או פנים מכוערות בסלאנג ספרדי. היעדים המרכזיים של קמפיין הריגול היו גופים ממשלתיים, משרדים דיפלומטיים ושגרירויות, חברות גז ונפט, ארגוני מחקר ואקטיביסטים. קספרסקי איתרה קורבנות ב-31 מדינות במזרח התיכון, באירופה, באפריקה וביבשת אמריקה.
המטרה המרכזית היתה לאסוף מידע רגיש דוגמת מסמכים משרדיים, מפתחות הצפנה, הגדרות VPN, מפתחות SSH (זיהוי משתמש) וקבצי RDP (המשמשים מערכות שליטה מרחוק כדי לפתוח קישור אוטומטי למחשב).
"אנחנו מאמינים שמדובר בריגול המגובה על-ידי מדינה", אמר מנהל צוות המחקר של מעבדת קספרסקי, קוסטין ריו. "זיהינו רמת מקצוענות גבוהה מאוד בצורת העבודה של הקבוצה שמאחורי ההתקפה: מניהול התשתית, דרך הליך סגירת הפעילות, ועד להסתרה מעיניים חטטניות באמצעות חוקי גישה ושימוש בניקוי במקום מחיקה של קבצי לוג. המשמעות היא שמתקפת ה-APT הזו היא האיום המתקדם ביותר כרגע. רמה שכזו של אבטחת פעילות אינה אופיינית לקבוצות של עברייני סייבר".
השרתים נעלמו באמצע החקירה
החוקרים התוודעו ל-Careto בשנה שעברה, כאשר הם זיהו ניסיון של מפעילי הקמפיין לנצל פירצה של מוצרי החברה שתוקנה כבר לפני 5 שנים. הזיהוי הוביל לפתיחת החקירה שגילתה את היקף הפעילות המפתיע. בין הממצאים המרכזיים שעלו מהחקירה: הכותבים הם כנראה ממקור דובר ספרדית. קמפיין הריגול היה פעיל במהלך 5 השנים האחרונות ופסק בינואר 2014 כאשר שרתי הפיקוד והשליטה נסגרו במהלך החקירה של מעבדת קספרסקי.
החקירה זיהתה קורבנות לרוחב של יותר מ-1,000 כתובות IP. נפגעים אותרו ב: אלג'יריה, ארגנטינה, בלגיה, בוליביה, סין, קולומביה, קוסטה ריקה, קובה, מצריים, צרפת, גרמניה, גיברלטר, גוואטמלה, אירן, לוב, עיראק, מלזיה, מקסיקו, מרוקו, נורווגיה, פקיסטן, פולין, דרום אפריקה, ספרד, שווייץ, טוניסיה, טורקיה, בריטניה, ארה"ב וונצואלה.
כיצד המנגנון עובד? על-פי דו"ח הניתוח הסתמך קמפיין "המסיכה" על פישינג בהודעות דואר אלקטרוני ממוקדות, עם קישורים לאתרים זדוניים. האתרים הזדוניים הכילו פרצות שנועדו להדביק את המבקר. בעת הדבקה מוצלחת, האתר הזדוני היפנה את הגולש אל האתר שאוזכר בהודעת הדואר האלקטרוני, שיכול להיות סרטון ביוטיוב או מאמר חדשותי.
האתר המדביק לא עשה זאת באופן אוטומטי. התוקפים איחסנו את קוד התקיפה בתיקיה מסויימת באתר, אשר לא הייתה משויכת לשום מקום, חוץ מאשר לדואר זדוני. לעיתים, התוקפים השתמשו בכתובות משנה של אתר התקיפה, כדי לגרום להם להיראות אמיתיים יותר. אתרי משנה אלה מדמים אזורי משנה של עיתונים מובילים בספרד וכמה עיתונים בינלאומיים, כגון הגרדיאן או הוושינגטון פוסט.
ה-Careto משתמש במערכת מודולרית מאוד, הוא תומך בתוספים וקבצי הגדרות המאפשרים לו לבצע מספר גדול של פעולות. בנוסף לפעולות המובנות, מפעילי Careto יכולים להעלות מודולים נוספים לביצוע משימות זדוניות. החברה מסרה שמוצרי מעבדת קספרסקי מזהים ומסירים את כל הגרסאות הידועות של "המסיכה"/Careto.
לדו"ח המלא: Careto
פורסם בקטגוריות: אבטחה , חדשות , טכנולוגיות מידע
כתבות נוספות העשויות לעניין אותך
