הזמנה לכנס שהיא קובץ PDF שהוא סוס טרויאני

עמדות מחשב של עובדים נגועות ברוגלות השולחות מידע לצדדים שלישיים ברשת, מחייבות שומר סף. חברת אבטחה ישראלית עוזרת לאתר ולחסום רוגלות שכבר חדרו לארגון

מקור: יח"צ

פורצים ושלל גורמים זדוניים יעשו הכל כדי לפרוץ למערכות המידע הממוחשב של ארגונים גדולים. ככל שהחברה יוקרתית יותר, בעלת שם, או בעלת סודות מסחריים חשובים, כך היא חשופה יותר לניסיונות תקיפה קיברנטית, וזיופי זהויות, במטרה לחדור למערכותיה.

אבטחה ישראלית

ניסיון מתוחכם שכזה אותר לאחרונה על-ידי חברת אבטחת מידע ישראלית בשם Seculert. החברה ביצעה לאחרונה מחקר, בשיתוף עם חברת Zscaler. במסגרת המחקר הצליחו החוקרים לזהות ולאתר סוס טרויאני שהוחדר לארגון, והתחבא במערכות הארגון זמן רב, תחת מסווה של קובץ עדכון תקני של חלונות (MSUpdater).

הסוס הטרויאני שהושתל, התחבא בתוך הזמנה לכנס שנשלחה במסגרת ‘ציד חנית’ (Spear Phishing) כנגד אנשים ספציפיים בארגון. ההזמנה נבנתה בצורה כזאת, שכאשר יראה העובד התמים את הכותרת של קובץ ה-PDF המצורף הוא יחשוב שאכן מדובר בכנס הרלוונטי אליו. בפועל, עם הפתיחה של קובץ ה-PDF באמצעות תוכנת קריאת ה-PDF של אדובי, הקוד הנסתר שהוטמן בה הדביק את המחשב בסוס הטרויאני.

כיצד הסוס מסתיר את עצמו לאחר ההתקנה? הוא מסווה את עצמו כתהליך סטנדרטי של עדכון חלונות, וכדי להשלים את ההסוואה גם שולח שאילתות HTTP אחת לכמה זמן, כאילו בכוונתו לעדכן את מערכת ההפעלה בעדכונים האחרונים של מיקרוסופט. הסוס הטרויאני שהתגלה הוא רוגלה ממשפחת ה-Remote Access Tool, אשר מאפשרת לפורצים להשתמש במחשב כאילו הוא יושב פיזית באותו החדר. כך, למשל, יש לפורצים שליטה על המוצג על המסך, יכולת להפעיל את המצלמה המובנית, לבצע שינויים ברג’יסטרי של חלונות, ועוד.

סודות מסחריים

ניסיונות מתוחכמים לגניבת סודות מסחריים, בעיקר בחברות טכנולוגיה ומדע, הולכים ונעשים תכופים בשנים האחרונות. מאחורי פריצות רבות בעת האחרונה עומדים במקרים רבים גורמים סיניים, אם כי לא רק, ובעולם הקיברנטי מודעים לכך שישנן מדינות, מלבד סין, העושות שימוש במרחב הקיברנטי כדי לרגל אחת אחרי השניה, לרגל עסקית ולגנוב מידע של ממש.

לאחרונה אף דווח כי בעקבות פריצות שכאלה הצליחו חברות זרות לגשת למידע פנימי הקשור לחברות טכנולוגיה אמריקניות גדולות, ויכלו להתמודד מולן בהצלחה במכרזים בינלאומיים, כאשר ההצעות שלהם למכרזים היו גבוהות רק בסכומים קטנים של כמה אלפי דולרים. בחוזים של מיליוני דולרים, אם לא מיליארדי דולרים, אמנם ההצעה הגבוהה יכולה להיות הזוכה, אך פער זעום מול המתחרה עשוי לרמוז על כך שהיה בידי החברה מידע פנימי של החברה המתחרה לה.

וידאו: סקיולרט מגנה על הארגון שלכם

מפתח תקווה באהבה

את Seculert הקימו דודי מתות, המכהן כמנכ”ל החברה, אביב ראף, המכהן כ-CTO של החברה, ואלכס מילשטיין, המכהן כ-COO. החברה מחזיקה משרדים ראשיים בפתח-תקווה, עם שלוחות בגרמניה, אנגליה וארצות הברית. המחקר המלא זמין מבלוג החברה.

בראיון לניוזגיק, סיפר דודי מתות, כי הלקוח במקרה הזה פנה אל החברה בעקבות דברים מוזרים שהתרחשו ברשת. אחד השירותים שאנחנו מספקים הוא מידע על המתרחש בתוך Botnets. החברה יודעת לעשות בדיקה של הפניות החוצה מתוך הארגון אל העולם החיצון. הבדיקה הובילה לגילוי של הזמנה לכנס הרלוונטי לעולם התעשיות האוויריות, כך שיקסום ללקוח הספציפי.

מבחינת התקשורת, הכל לכאורה נראה לגיטימי כאשר העובד התמים מקבל את ההזמנה. המידע שיש לנו מתוך הבוטנטס, הצלחנו לגלות יותר מידע. חברנו אל Zscaler, והם סיפרו שבהקשר אחר במקום אחר הם נתקלו במקרה דומה, השייך אף הוא לאותה התעשייה. גם הם זיהו באותה תקופה של השנה תקיפות דומות, המתבססות על אותו וקטור תקיפה.

נדב דופמן-גור

עו"ד העוסק בתחומי דיני הטכנולוגיה, דיני פרטיות וקניין רוחני. מרצה ומנטור לסטארטאפים, ובעל ניסיון רב-שנים בפיתוח ווב (http://about.me/nadavdg).

הגב

הגב ראשון!

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

wpDiscuz

תגיות לכתבה: