קבוצת האקרים תוקפת דיפלומטים באמצעות תוכנות Adobe Flash Player מזויפות - 0404
קבוצת האקרים תוקפת דיפלומטים באמצעות תוכנות Adobe Flash Player מזויפות 0404

קבוצת האקרים תוקפת דיפלומטים באמצעות תוכנות Adobe Flash Player מזויפות

חברת אבטחת המידע ESET, זיהתה נוזקה חדשה בה משתמשת קבוצת טורלה – קבוצת האקרים המיוחסת לרוסיה ואחראית לתקיפות רבות בעבר, גם הפעם התקיפות מכוונות בדייקנות לדיפלומטים וארגונים פוליטיים במזרח אירופה.  ESETחושפת כי הכלי החדש גורם לקורבנותיו להתקין נוזקה ממה שנראה כמו האתר של Adobe, במטרה לחלץ מידע רגיש מהמטרות הפוטנציאליות של קבוצת טורלה.

קבוצת טורלה כבר השתמשה בעבר בתוכנות מזויפות להתקנת Flash Adobe על מנת לשתול את אחת מהדלתות האחוריות שלהם, אך זו הפעם הראשונה בה הורדת התוכנה מתבצעת מכתובות URLוכתובות IP לגיטימיות של Adobe. עם זאת, ESET בטוחה כי הנוזקה של טורלה לא פגעה באף אחד מהעדכונים הלגיטימיים של נגן ה-Flash, וכן שאין קשר בינה ובין פרצה ידועה כלשהי במוצרי Adobe.

כיצד הנוזקה מנצלת את Adobe Flash?

ESET, העוקבת אחר קבוצת טורלה מקרוב במשך שנים רבות, מצאה כי לא רק שהנוזקה החדשה הזו ארוזה בתוך תוכנת התקנה לגיטימית של נגן ה-Flash, אלא גם נראית שהיא מגיעה מהכתובת adobe.com. מנקודת המבט של משתמש הקצה, כתובת ה-IP המרוחקת שייכת ל-Akamai, רשת הפצת התוכן (Content Delivery Network, CDN) הרשמית בה Adobe משתמשת כדי להפיץ את תוכנת ההתקנה הלגיטימית לנגן ה-Flash שלה.

עם זאת, בבדיקה קפדנית יותר, ESET הבחינה בכך שתוכנת ההתקנה המזויפות ל-Flash ביצעה בקשת GET כדי לחלץ מידע רגיש מהמערכות שנפרצו זה עתה. מנגנון הניטור של ESET הצליח לחשוף כי תוכנות ההתקנה גנבה נתונים לכתובות get.adobe.com מאז יולי 2016. שימוש בכתובות אינטרנט לגיטימיות לגניבת נתונים הופכת את זיהוי התנועה להרבה יותר קשה עבור חברות האבטחה, מה שמדגיש את רצונה של קבוצת טורלה לשמור על פרופיל נמוך ככל האפשר.

"לטורלה יש דרכים מתוחכמות לגרום למשתמשים להוריד תוכנות הנראות אותנטיות, והאופן בו הם מסתירים את תנועת הרשת הזדונית שלהם הוא חכם", אמר ז'אן-יאן בוטין, חוקר נוזקות בכיר בחברתESET. "גם המשתמשים המנוסים ביותר עלולים ליפול בפח ולהוריד קובץ זדוני שנראה כאילו הוא מגיע מ-Adobe.com, זאת מכיוון שכתובות ה-IP וה-URL מחקות את התשתית הלגיטימית של Adobe. מכיוון שכל ההורדות אותן ראינו בוצעו באמצעות פרוטוקול HTTP, אנו ממליצים לארגונים לאסור הורדה של קבצים דרך אתרים לא-מאובטחים. הקפדה על עיקרון זה תפחית את האפקטיביות של המתקפות של קבוצת טורלה, מכיוון שקשה יותר ליירט ולשנות נתונים המועברים באופן מוצפן בין מכונת קצה ובין שרת מרוחק. שנית, בדיקת חתימות הקבצים עשויה לסייע לקבוע האם קורה משהו חשוד, היות והקבצים של Adobe חתומים דיגיטלית, בעוד שקבצי הנוזקה אינם חתומים. נקיטה באמצעים אלו עשויה לעזור למשתמשים להימנע מנפילה למלכודת האחרונה שטמנה קבוצת טורלה".

עדויות למעורבותה של קבוצת טורלה

ESET בטוחה בכך שהמתקפה האחרונה משויכת לקבוצת טורלה מכמה סיבות. ראשית, חלק מתוכנות ההתקנה המזויפות מותירות אחריהן דלת אחורית הנקראת Mosquito, שכבר זוהתה בעבר כנוזקה של קבוצת טורלה. שנית, חלק משרתי השליטה והבקרה המקושרים לדלתות האחוריות האלה משתמשים בכתובות SATCOM IP ששויכו בעבר לקבוצת טורלה. בנוסף, קיימים כמה מאפיינים משותפים לנוזקה הזו ולמשפחות נוזקות אחרות בהן משתמשת קבוצת טורלה.