דף הבית |   פוקוס חברות   |   שיחת היום   |   המנכ"לים   |   דרושים   |   מתחמים   |   הבמה  
 
  כניסת חברה   |   אתר סלולארי אתר סלולארי  
ידעטק - מנוע חיפוש הייטק
חברות   חדשות   אנשים   דרושים   מילון  
חיפוש מתקדם
  מציאת פתרון טכנולוגי   |   חברות הייטק   |   פרסם אצלנו  
  Private Zone:     Login     Dashboard   |   Jobs   |
 
  הישאר מעודכן!    צור התראת דוא"ל עבור:  Kaspersky
חדשות
קבוצת Sofacy/Fancy Bear משנה את המיקוד למטרות ביטחון ודיפלומטיה
 
במזרח הרחוק ופולשת לאזורי פעולה של קבוצות ריגול סייבר אחרות

מערכת ידעטק 13/03/18 | 05:19
שלוט בפרסומת שכולם רואים - בחר את Kaspersky
 
 
 
 
חוקרי מעבדת קספרסקי זיהו כי גורם האיום דובר הרוסית Sofacy, הידוע גם כ-APT28 או Fancy Bear, משנה מיקוד למזרח הרחוק, ומגלה עניין מיוחד במטרות של ארגוני צבא, ביטחון ודיפלומטיה -לצד המטרות המסורתיות של הקבוצה הקשורות בנאט"ו. החוקרים חשפו כי פעילות Sofacy חופפת לעיתים לשחקני איום אחרים, כולל קבוצות Turla דוברת הרוסית ו-Danti דוברת הסינית. הממצא המעניין ביותר הוא דלת אחורית של Sofacy שנמצאה על שרת שכבר נפרץ בעבר על ידי גורם האיום דובר האנגלית Lamberts. השרת שייך לקונגלומרט צבא ותעופה בסין.

Sofacy היא קבוצת ריגול פעילה ורחבה מאוד שחוקרי קספרסקי עוקבים אחריה כבר מספר שנים. בפברואר, פרסמה מעבדת קספרסקי סקירה של פעילות Sofacy ב- 2017, אשר הציגה מעבר הדרגתי של הקבוצה ממיקוד במטרות הקשורות בנאט"ו אל עבר מטרות במזרח התיכון, מרכז אסיה ואף מזרחה מכך. Sofacy משתמשת בהתקפות פישינג ממוקד ולעיתים ב"בורות השקיה" כדי לגנוב נתונים, כולל הרשאות לחשבונות, תקשורת רגישה ומסמכים. היא גם חשודה בשתילת מטענים הרסניים אצל מטרות שונות.

הממצאים החדשים מראים כי Sofacy היא לא התוקף היחיד הפעיל באזורים אלה, ולעיתים הדבר מוביל למטרות חופפות בין שחקני האיום השונים. במקרה של Sofacy, החוקרים גילו מקרים בהם הקוד הזדוני שלה, Zebrocy, התחרה על גישה לקורבן אל מול ה-Mosquito Turla דובר הרוסית, ובמקרה אחר, הדלת האחורית שלה, SPLM, עמדה בתחרות אל מול התקפות מסורתיות מצד Turla ו-Danti דוברת הסינית. המטרות המשותפות כוללות ארגונים ממשלתיים וגופי טכנולוגיה, מדע וצבא ממרכז אסיה.

במקרים מסוימים נראה שהמטרות ספגו במקביל התקפות נפרדות מצד SPLM ו- Zebrocy. אך החפיפה המעניינת ביותר נרשמה בין Sofacy וגורם האיום דובר האנגלית שעומד מאחורי Lamberts. החיבור התגלה לאחר שהחוקרים זיהו נוכחות של Sofacy על שרת שמודיעין האיומים כבר זיהה בעבר ככזה שנפרץ על ידי הקוד הזדוני Grey Lambert. השרת שייך לקונגלומרט סיני המתכנן ומייצר טכנולוגיות תעופה והגנה אווירית.

עם זאת, בדוגמה זו, אפיק החדירה המקורי של SPLM נותר בלתי ידוע. הדבר מעלה מספר השערות, כולל האפשרות ש-Sofacy משתמשת בפירצה חדשה ועדיין לא מוכרת או בסוג של דלת אחורית חדשה, או ש- Sofacy הצליחה איכשהו לרתום את ערוצי התקשורת של Grey Lambert כדי לבצע הורדה של הקוד הזדוני שלה. המשמעות יכולה להיות אפילו שסממני הפריצה של Sofacy עלולים להיות הטעיה שהושתלה על ידי Lambert. החוקרים מאמינים כי התשובה הסבירה ביותר היא שסקריפט PowerShell חדש ובלתי מוכר, או אפליקציה לגיטימית המכילה פירצה, הם אלה שאפשרו הורדה והפעלה של קוד SPLM. המחקר נמשך.

"Sofacy נחשבת לעיתים לפרועה וחסרת מעצורים, אבל מנקודת המבט שלנו, הקבוצה יכולה להיות פרגמטית, זהירה וגמישה. הפעילות שלה במזרח לא זכתה לדיווח מספיק, אבל ברור שהם לא גורם האיום היחיד שמתעניין באזור או אפילו במטרות מסוימות. כשאופק האיומים הופך לצפוף ומורכב יותר, אנו עלולים להיתקל בדוגמאות נוספות למטרות חופפות - והדבר עלול להסביר מדוע גורמי איום רבים מבצעים סריקה של מערכות הקורבנות לגילוי פולשים אחרים לפני שהם מפעילים את המתקפות שלהם", אמר קורט באומגרטנר, חוקר אבטחה ראשי, מעבדת קספרסקי.

חוקרים גילו גם כי Sofacy שומרת על חלוקה ברורה בין כל אחד מהכלים המרכזיים שלה. כתיבת הקוד, הפיתוח והתקיפה מחולקים למחלקות של SPLM (המוכר גם כ-CHOPSTICK או Xagent), GAMEFISH ו- Zebrocy. SPLM נחשב ככלי המרכזי לשלב שני של מתקפות, בעוד Zebrocy משמש להתקפות בהיקפים גדולים. על פי החוקרים, בתחילת 2018, Sofacy תקף ארגונים מסחריים של הגנה אווירית בסין באמצעות SPLM, בעוד הקבוצה הפעילה את Zebrocy באופן נרחב יותר בארמניה, טורקיה, קזחסטן, טג'יקיסטן, אפגניסטן, מונגוליה, סין ויפן.

כל מוצרי מעבדת קספרסקי מזהים וחוסמים את התקפות Sofacy המוכרות.

עבור ארגונים עם פעילות צבאית, בטחונית או בעלי קשרי חוץ באזורים המדוברים, מעבדת קספרסקי ממליצה על הטמעת האמצעים הבאים כדי לסכל התקפות ממוקדות מתקדמות:

שימוש בפתרון אבטחה ברמה ארגונית, בשילוב טכנולוגיות להגנה כנגד התקפות ממוקדות ומודיעין איומים, כגון Kaspersky Threat Management and Defense. פתרון שכזה מסוגל לזהות וללכוד התקפות ממוקדות מתקדמות באמצעות ניתוח של חריגות ברשת, ומתן שקיפות מלאה לצוותי אבטחת הסייבר לגבי הפעילות ברשת ויכולת תגובה אוטומטית.

מתן גישה לצוותי אבטחה למודיעין האיומים העדכני ביותר, אשר יחמש אותם בכלים יעילים למחקר ומניעה של התקפות ממוקדות, כגון סממני פריצה (IOC), חוקי YARA ודוחות איום מתקדמים ומותאמים אישית.

אם אתם מזהים סממנים מוקדמים להתקפה ממוקדת, מומלץ להשתמש בשירותי הגנה מנוהלים, שיאפשרו לכם לזהות באופן פרואקטיבי איומים מתקדמים ולקצר זמני תגובה.
 
 
Kaspersky
Kaspersky Labs היא חברת האנטי וירוס הגדולה ביותר באירופה. החברה מספקת כמה מן ההגנות המיידיות ביותר בעולם כנגד סיכוני אבטחה עולמיים, ובכל לזה וירוסים, רוגלות, תוכנות פשע, האקרים, פישינג וספאם. Kaspersky Labs מדורגת בין 4 ספקיות פתרונות האבטחה המובילות בעולם למשתמשי קצה. מוצרי החברה מספקים רמות גילוי משובחים ואת זמני התגובה הטובים ביותר בתעש...
Cyber  |  Security  |  Network  | 
 
תפריט על סדר היום 
 
פוקוס חברות Top 5
חדשות המנכ"לים
דרושים מתחמים
הבמה  
    בחירת הגולשים
  חדשות
 
 
  מנכ"לים
 
ליאור לוי ברק עילם
אבנר מימון דורון גיגי
 
 
 
מנוע חיפוש   |   הייטק   |   דרושים   |   Goto-Mobile בניית אתרים לסלולר
 
RSS   |   תקנון   |   צור קשר
 
מחשוב ענן
ניהול קשרי לקוחות
אבטחת מידע
 
בינה עסקית
ניהול ידע
ניהול מסמכים
 
בנקאות ביטוח
תיירות מלונאות
אופנה טקסטיל
 
חינוך אקדמיה
קמעונאות
חקלאות
 
קידום אתרים
דרושים הייטק
 
Cloud Computing
Virtualization
Security
 
Storage
Network
ERP
 
CRM
BI
QA
 
KM
SaaS
SOA
 
BPM
BPO
DRP
 
Outsourcing
Semiconductor
Telecom
 
Mobile
Backup
DMS
 
ידעטק  |  ידע טק  |  ידע-טק


Navigation