X
יומן ראשי
חדשות תחקירים
כתבות דעות
סיפורים חמים סקופים
מושגים ספרים
ערוצים
אקטואליה כלכלה ועסקים
משפט סדום ועמורה
משמר המשפט תיירות
בריאות פנאי
תקשורת עיתונות וברנז'ה
רכב / תחבורה לכל הערוצים
כללי
ספריה מקוונת מיוחדים ברשת
מגזינים וכתבי עת וידאו News1
פורמים משובים
שערים יציגים לוח אירועים
מינויים חדשים מוצרים חדשים
פנדורה / אנשים ואירועים
אתרים ברשת (עדכונים)
בלוגרים
בעלי טורים בלוגרים נוספים
רשימת כותבים הנקראים ביותר
מועדון + / תגיות
אישים פירמות
מוסדות מפלגות
מיוחדים
אירועי תקשורת אירועים ביטוחניים
אירועים בינלאומיים אירועים כלכליים
אירועים מדיניים אירועים משפטיים
אירועים פוליטיים אירועים פליליים
אסונות / פגעי טבע בחירות / מפלגות
יומנים אישיים כינוסים / ועדות
מבקר המדינה כל הפרשות
הרשמה למועדון VIP מנויים
הרשמה לניוזליטר
יצירת קשר עם News1
מערכת - New@News1.co.il
מנויים - Vip@News1.co.il
הנהלה - Yoav@News1.co.il
פרסום - Vip@News1.co.il
כל הזכויות שמורות
מו"ל ועורך ראשי: יואב יצחק
עיתונות זהב בע"מ
X
יומן ראשי  /  חדשות / מבזקים
התוקף השתיל דלת אחורית נוספת
קבוצת תקיפה המזוהה עם רוסיה עוקבת ותוקפת דיפלומטים אירופים
מחלקת המחקר של ESET חושפת שתי דלתות אחוריות שלא היו מוכרות עד כה ושימשו לפריצה למשרד יחסי חוץ אירופי ולצוותים הדיפלומטיים שלו ברחבי העולם, בעיקר במזה"ת הפריצות מיוחסות לקבוצת ריגול הסייבר הידועה לשמצה Turla

חברת אבטחת המידע ESET חושפת שתי דלתות אחוריות שלא היו מוכרות עד כה - LunarWeb ו-LunarMail, אשר שימשו לפריצה למשרד יחסי חוץ אירופי ולצוותים הדיפלומטיים שלו ברחבי העולם, בעיקר במזרח התיכון.
ב-ESET מאמינים כי מערך הכלים Lunar נמצא בשימוש משנת 2020 לפחות, ועל בסיס קווי דמיון בטקטיקות, הטכניקות, התהליכים והפעולות הקודמות, החוקרים משייכים את הפריצות האלה במידת ביטחון בינונית לקבוצת ריגול הסייבר הידועה לשמצה Turla, שמזוהה עם רוסיה. מטרת התקיפה היא ריגול סייבר.
המחקר בעניין החל בזיהוי של תוכנת טעינה שהועלתה לשרת לא מזוהה, שמצפין ומפענח קבצי הפעלה בתוך ומתוך קבצים אחרים. הזיהוי הוביל את חוקרי ESET לחשיפת דלת אחורית שלא הייתה מוכרת עד כה וכונתה על-ידי החוקרים בשם LunarWeb. לאחר מכן זוהתה שרשרת דומה ונחשפה הדבקה ב-LunarWeb אצל צוות דיפלומטי. התוקף השתיל דלת אחורית נוספת, אותה כינתה מחלקת המחקר בשם LunarMail, שמשתמשת בשיטה אחרת להעברת תקשורת שליטה ובקרה. במהלך מתקפה אחרת, ESET זיהתה הדבקות מקבילות ב-LunarWeb בשלושה צוותים דיפלומטיים של מדינה אירופית שפועלים במזרח התיכון, כשהתקיפות היו במרווח של דקות ספורות בין תקיפה לתקיפה. סביר להניח כי לתוקף כבר הייתה גישה ל-Domain Controller של אותו משרד יחסי חוץ, ושהוא השתמש בו כדי לנוע הצידה למחשבים אחרים של גופים הקשורים למשרד יחסי החוץ ומחוברים לאותה הרשת.

הדלת האחורית LunarWeb, שמוטמעת בשרתים, משתמשת בפרוטוקול HTTP(S) לתקשורת, שליטה ובקרה תוך התחזות לבקשות לגיטימיות, בזמן ש-LunarMail, שמוטמעת בתחנות עבודה, פועלת כתוסף ל-Outlook ומשתמשת בהודעות דוא״ל לתקשורת, שליטה ובקרה. שתי הדלתות האחוריות משתמשות בסטגנוגרפיה, טכניקה בה פקודות מוסתרות בקבצי תמונה כדי למנוע את זיהוין. קבצי הטעינה שלהן יכולים להתקיים בצורות שונות, כמו למשל תוכנות קוד-פתוח המודבקות בסוס-טרויאני, מה שממחיש את הטכניקות המתקדמות בהן משתמשים התוקפים.
״זיהינו רמות שונות של מורכבות בפריצות השונות, כמו ההתקנה הקפדנית על השרת שנפרץ כדי להימנע מזיהוי של תוכנות אבטחה, ומהצד השני שגיאות בכתיבת קוד וסגנונות שונים של כתיבת קוד בדלתות האחוריות. זה מצביע על כך שייתכן שאנשים נפרדים היו מעורבים בפיתוח והפעלת הכלים האלה״, מסביר פיליפ יורצ׳אקו, חוקר ESET שגילה את מערך הכלים Lunar.
מרכיבים שונים של תוכנות ההתקנה ופעולות של התוקף שהצלחנו לשחזר, מצביעים על כך שייתכן שהפריצה הראשונית קרתה באמצעות קמפיין פישינג ממוקד (Spearphishing) וניצול של הגדרות שגויות של הרשת ושל תוכנת ניטור האפליקציות Zabbix. בנוסף לכך, לתוקף כבר הייתה גישה לרשת; הוא השתמש בסיסמאות גנובות כדי לנוע בתוך הרשת ונקט צעדים זהירים כדי להשיג גישה לשרת מבלי לעורר חשד. בפריצה אחרת, החוקרים איתרו מסמך Word זדוני ישן, שסביר להניח ששימש כחלק מדיוג ממוקד.

הדלת האחורית LunarWeb אוספת ומדליפה מידע מהמערכת, כמו מידע על המחשב ומערכת ההפעלה, רשימת התהליכים הפועלים בו, רשימת שירותי Windows שמוגדרים בו ורשימה של מוצרי אבטחה המותקנים בו. LunarWeb תומכת בפעולות סטנדרטיות של דלתות אחוריות, כמו פעולות בקבצים ובתהליכים והפעלת פקודות Shell. בהרצה הראשונית, הדלת האחורית LunarMail אוספת מידע מהודעות הדוא״ל היוצאות של הקורבן (כתובות דוא״ל של נמענים). מבחינת יכולות השליטה, LunarMail היא פשוטה יותר ומשתמשת בחלק קטן יותר משלל הפקודות של LunarWeb. הדלת האחורית יכולה לכתוב לקובץ, ליצור תהליך חדש, לצלם צילום מסך ולשנות את כתובת הדוא״ל המשמשת לשליטה ובקרה. לשתי הדלתות האחוריות יש יכולת חריגה - הרצת סקריפטים של Lua.
קבוצת Turla, המוכרת גם בשם Snake, פעילה החל משנת 2004 לפחות, וייתכן שהחלה לפעול כבר בסוף שנות ה-90. הקבוצה, שלפי ההערכות משמשת כחלק ממנגנון ה-FSB הרוסי, ממקדת את מתקפותיה לישויות בפרופיל גבוה כמו ממשלות וארגונים דיפלומטיים באירופה, מרכז אסיה והמזרח התיכון. הקבוצה ידועה בפריצה לארגונים משמעותיים, כמו משרד ההגנה האמריקני בשנת 2008 וחברת ההגנה השוויצרית RUAG בשנת 2014.
למידע טכני נוסף על מערך הכלים Lunar
תאריך:  19/05/2024   |   עודכן:  19/05/2024
מועדון VIP להצטרפות הקלק כאן
פורומים News1  /  תגובות
כללי חדשות רשימות נושאים אישים פירמות מוסדות
אקטואליה מדיני/פוליטי בריאות כלכלה משפט
סדום ועמורה עיתונות
קבוצת תקיפה המזוהה עם רוסיה עוקבת ותוקפת דיפלומטים אירופים
תגובות  [ 0 ] מוצגות  [ 0 ]  כתוב תגובה 
 
תגובות בפייסבוק
 
ברחבי הרשת / פרסומת
רשימות קודמות
עידן יוסף
עימות פרץ בקבינט המלחמה בין ראש הממשלה נתניהו לשרי המחנה הממלכתי    נתניהו אמר כי הצעותיהםל אלון וברנע חותרות לסיום המלחמה והשרים גנץ ואיזנקוט תקפו אותו וטענו שהוא מקשה על המשא-ומתן ולא רוצה להגיע להסכם
עידן יוסף
בסרטון נראית אלה אליקים בעזה, מספר ימים לאחר שנחטפה מבית אביה בנחל עוז ב-7 באוקטובר    אלה סיפרה שמחבלי חמאס הכריחו אותה לקרוא את התסריט, להחליף את בגדייה ולצלם שוב ושוב את הסרטון המבעית
עידן יוסף
אוגדת יהודה ושומרון ערכה תרגיל התמודדות עם אירועי טרור ותרחישי קיצון, תוך תרגול ניהול מספר אירועים במקביל    האוגדה תרגלה גיוס כוחות בזמן קצר ותיאום בין כוחות יבשה ואוויר וכוחות מיוחדים
איציק וולף
ההתפטרות מגיעה על רקע חילוקי דעות עם האחים אמיר ביחס לאסטרטגיית ניהול הנדל"ן המניב    בין השמות שעולים כאפשרות למחליף: צחי הרץ שעזב את מגדל לפני כחודש
עידן יוסף
רב-סרן גל שבת (24) מקציר, מפקד פלוגת חץ בגדוד 202, נפגע בהיתקלות בצפון הרצועה    מתחילת התמרון הקרקעי ברצועת עזה נהרגו 282 חיילים, ונפצעו 1,745 מהם 348 באורח קשה ו-577 בינוני
ראשייומניםבלוגריםערוציםסקופיםקישוריםעוד...
כל הזכויות שמורות
מו"ל ועורך ראשי: יואב יצחק
עיתונות זהב בע"מ New@News1.co.il