דף הבית |   פוקוס חברות   |   שיחת היום   |   המנכ"לים   |   דרושים   |   מתחמים   |   הבמה  
 
  כניסת חברה   |   אתר סלולארי אתר סלולארי  
ידעטק - מנוע חיפוש הייטק
חברות   חדשות   אנשים   דרושים   מילון  
חיפוש מתקדם
  מציאת פתרון טכנולוגי   |   חברות הייטק   |   פרסם אצלנו  
  Private Zone:     Login     Dashboard   |   Jobs   |
 
חדשות
קבוצת האקרים ידועה תוקפת דיפלומטים
 
באמצעות תוכנות Adobe Flash Player מזויפות

מערכת ידעטק 10/01/18 | 04:35
 
 
 
 
חברת אבטחת המידע ESET, זיהתה נוזקה חדשה בה משתמשת קבוצת טורלה (Turla) - קבוצת האקרים המיוחסת לרוסיה ואחראית לתקיפות רבות בעבר, גם הפעם התקיפות מכוונות בדייקנות לדיפלומטים וארגונים פוליטיים במזרח אירופה. ESETחושפת כי הכלי החדש גורם לקורבנותיו להתקין נוזקה ממה שנראה כמו האתר של Adobe, במטרה לחלץ מידע רגיש מהמטרות הפוטנציאליות של קבוצת טורלה.

קבוצת טורלה כבר השתמשה בעבר בתוכנות מזויפות להתקנת Flash Adobe על מנת לשתול את אחת מהדלתות האחוריות שלהם, אך זו הפעם הראשונה בה הורדת התוכנה מתבצעת מכתובות URL וכתובות IP לגיטימיות של Adobe. עם זאת, ESET בטוחה כי הנוזקה של טורלה לא פגעה באף אחד מהעדכונים הלגיטימיים של נגן ה-Flash, וכן שאין קשר בינה ובין פרצה ידועה כלשהי במוצרי Adobe.

כיצד הנוזקה מנצלת את Adobe Flash?

ESET, העוקבת אחר קבוצת טורלה מקרוב במשך שנים רבות, מצאה כי לא רק שהנוזקה החדשה הזו ארוזה בתוך תוכנת התקנה לגיטימית של נגן ה-Flash, אלא גם נראית שהיא מגיעה מהכתובת adobe.com. מנקודת המבט של משתמש הקצה, כתובת ה-IP המרוחקת שייכת ל-Akamai, רשת הפצת התוכן (Content Delivery Network, CDN) הרשמית בה Adobe משתמשת כדי להפיץ את תוכנת ההתקנה הלגיטימית לנגן ה-Flash שלה.

עם זאת, בבדיקה קפדנית יותר, ESET הבחינה בכך שתוכנת ההתקנה המזויפות ל-Flash ביצעה בקשת GET כדי לחלץ מידע רגיש מהמערכות שנפרצו זה עתה. מנגנון הניטור של ESET הצליח לחשוף כי תוכנות ההתקנה גנבה נתונים לכתובות get.adobe.com מאז יולי 2016. שימוש בכתובות אינטרנט לגיטימיות לגניבת נתונים הופכת את זיהוי התנועה להרבה יותר קשה עבור חברות האבטחה, מה שמדגיש את רצונה של קבוצת טורלה לשמור על פרופיל נמוך ככל האפשר.

"לטורלה יש דרכים מתוחכמות לגרום למשתמשים להוריד תוכנות הנראות אותנטיות, והאופן בו הם מסתירים את תנועת הרשת הזדונית שלהם הוא חכם", אמר ז'אן-יאן בוטין, חוקר נוזקות בכיר בחברת ESET. "גם המשתמשים המנוסים ביותר עלולים ליפול בפח ולהוריד קובץ זדוני שנראה כאילו הוא מגיע מ-Adobe.com, זאת מכיוון שכתובות ה-IP וה-URL מחקות את התשתית הלגיטימית של Adobe. מכיוון שכל ההורדות אותן ראינו בוצעו באמצעות פרוטוקול HTTP, אנו ממליצים לארגונים לאסור הורדה של קבצים דרך אתרים לא-מאובטחים. הקפדה על עיקרון זה תפחית את האפקטיביות של המתקפות של קבוצת טורלה, מכיוון שקשה יותר ליירט ולשנות נתונים המועברים באופן מוצפן בין מכונת קצה ובין שרת מרוחק. שנית, בדיקת חתימות הקבצים עשויה לסייע לקבוע האם קורה משהו חשוד, היות והקבצים של Adobe חתומים דיגיטלית, בעוד שקבצי הנוזקה אינם חתומים. נקיטה באמצעים אלו עשויה לעזור למשתמשים להימנע מנפילה למלכודת האחרונה שטמנה קבוצת טורלה".

עדויות למעורבותה של קבוצת טורלה

ESET בטוחה בכך שהמתקפה האחרונה משויכת לקבוצת טורלה מכמה סיבות. ראשית, חלק מתוכנות ההתקנה המזויפות מותירות אחריהן דלת אחורית הנקראת Mosquito, שכבר זוהתה בעבר כנוזקה של קבוצת טורלה. שנית, חלק משרתי השליטה והבקרה המקושרים לדלתות האחוריות האלה משתמשים בכתובות SATCOM IP ששויכו בעבר לקבוצת טורלה. בנוסף, קיימים כמה מאפיינים משותפים לנוזקה הזו ולמשפחות נוזקות אחרות בהן משתמשת קבוצת טורלה.

על מנת לקרוא עוד על ניתוח הנוזקה החדשה של קבוצה טורלה ע"י ESET
 
Hacker  |  CDN  |  Network  |  Infrastructure  |  Testing  |  Data Security  |  Software  |  Security  | 
 
תפריט על סדר היום 
 
פוקוס חברות Top 5
חדשות המנכ"לים
דרושים מתחמים
הבמה  
  חדשות
 
 
  מנכ"לים
 
דורון גיגי אודי מוקדי
ליאור לוי אבנר מימון
 
 
 
מנוע חיפוש   |   הייטק   |   דרושים   |   Goto-Mobile בניית אתרים לסלולר
 
RSS   |   תקנון   |   צור קשר
 
מחשוב ענן
ניהול קשרי לקוחות
אבטחת מידע
 
בינה עסקית
ניהול ידע
ניהול מסמכים
 
בנקאות ביטוח
תיירות מלונאות
אופנה טקסטיל
 
חינוך אקדמיה
קמעונאות
חקלאות
 
קידום אתרים
דרושים הייטק
 
Cloud Computing
Virtualization
Security
 
Storage
Network
ERP
 
CRM
BI
QA
 
KM
SaaS
SOA
 
BPM
BPO
DRP
 
Outsourcing
Semiconductor
Telecom
 
Mobile
Backup
DMS
 
ידעטק  |  ידע טק  |  ידע-טק


Navigation