נחשפה עוד קבוצת האקרים סינית – Red Star
This post is also available in: 
English (אנגלית)
בדומה לדו"ח של Mandiant מפברואר השנה המתאר את ההתקפות של קבוצה סינית הקשורה לממשלה, חברת הענק הרוסית בתחום ביטחון המידע Kaspersky Lab פרסמה השבוע דו"ח על קבוצה סינית מתוחכמת נוספת העוסקת בריגול סייבר, המכונה על ידי המעבדה בשם Red Star APT (Advanced Persistent Threat).
לפי המעבדה, קבוצה מתקדמת זו של האקרים המונה כ-50 איש פעילה מאז 2005, ואולי אף 2004, וחדרה לרשתות של מעל 350 קורבנות "בעלי פרופיל גבוה" החל בפעילי חופש טיבטים ואויגוריים ועד לסוכנויות ממשלה, שגרירויות, חברות ביטחוניות וחברות נפט ב-40 מדינות, תוך שימוש ב"מעקב חשאי" ותוכנת ריגול הקרויה NetTraveler. ( השם נשמע כה תמים, נכון?).
i-HLS ISRAEL Homeland Security
ספציפית, ה- NetTraveler מופץ באמצעות קובץ זדוני של Microsoft Office באימייל של דיוג ממוקד (spear phishing). לפי Kaspersky , ברגע שהוא מותקן במכונה, הוא גונב מידע רגיש ממכונות הקורבנות, מקליט את הקשות המקלדת של הקורבן, ו"משחזר" קבצים של Microsoft Office או מסמכי PDF. בתוכנה הזדונית נעשה לעיתים קרובות שימוש במשולב עם כלי ריגול סייבר אחרים.
אחד הפרטים המעניינים ביותר בנוגע ל-NetTraveler המופיע בדו"ח של Kaspersky היא העובדה שהוא משתמש בפרצה ישנה של Microsoft Office, שהחברה הוציאה עבורה patch תיקון מזה זמן. אף על פי כן, היגיינת רשת גרועה אפשרה לתוכנה הזדונית לחדור לרשתות של הקורבנות.
"על כן זה מפתיע לראות שהתקפות כה בלתי מתוחכמות יכולות עדיין להצליח במטרות בעלות פרופיל גבוה. " מציין דו"ח המעבדה על Red Star, תוך הדגשה שעקב אי-עדכון התוכנה הקורבנות עשו חלק מהעבודה עבור התוקפים – הם השאירו את השער הדיגיטלי פרוץ. שישה מהקורבנות הודבקו אפילו על ידי התוכנה הזדונית Red October עליה סיפרנו עבר בסתיו שעבר.
"זה קצת מזעזע שמוסדות ממשלתיים ודיפלומטיים שהוזהרו שהם עלולים להידבק לא עשו דבר בקשר לכך," אמר Costin Raiu, מנהל צוות המחקר והניתוח הגלובלי, בפורום ביטחון סייבר בחסות החברה שהתקיים השבוע בוושינגטון.
אז מה נראה שמחפש הצוות של Red Star? שישים אחוז מהמטרות הם שגרירויות, צבאות, וסוכנויות ממשלה אחרות. השאר הם בעיקר מוסדות מחקר, חברות יצרניות, ועסקים בתחומי התעופה והחלל. מרבית הקורבנות נמצאים באסיה, עם מונגוליה בראש הרשימה כמארחת 29 אחוז מההתקפות, ואחריה רוסיה (19 אחוז), הודו (11 אחוז), קזחסטאן (11 אחוז) וקירגיסטאן (5 אחוז).
תחומי המידע מהם מבקשת כנופיית Red Star לגנוב כוללים, לפי המעבדה, את תחומי הננוטכנולוגיה, לייזרים, טכנולוגיית תעופה וחלל, ציוד קידוחי נפט, נשק גלי רדיו, אנרגיה גרעינית וטכנולוגיית תקשורת.
כנופיית Red Star מגייסת האקרים צעירים ללא ניסיון טכני רב ש"פשוט ממלאים הוראות" על איך לפתח ולשחרר NetTraveler על אוסף מטרות שהם מקבלים, אמר Raiu בכנס. "הם מקבלים ערכת כלים, הוראות, תוכנה זדונית של סוסים טרויאניים ומטרה – 20, 25 עד ל-30 מטרות שונות שהם צריכים לתקוף. פרויקט גניבת סייבר אחד ויחיד המוכתר בהצלחה עשוי לממן למעשה את הוצאותיהם החודשיות."
המעבדה אינה יוצאת בהכרזה ש- Red Star APTמסונף לממשלה הסינית, אלא מסתפקת באמירה ש-"זוהי קבוצת איום בסדר גודל בינוני מסין". עם זאת, מספר גורמים מצביעים על כך שהיא עשויה בכל זאת להיות קשורה לממשלה. NetTraveler פותח על ידי מישהו המבין סינית כשפת אם, ועקבות IP שנתגלו על ידי Kaspersky מובילים לסין. יתר על כן, הקורבנות הם: עסקים במגזרים בהם סין רוצה להצטיין, קבוצות פוליטיות שממשלת סין מעוניינת לפקח עליהן, וארגונים ממשלתיים. עם זאת ,כפי שציין לאחרונה בטוויטר Jeffrey Carr, מנכ"ל חברת ביטחון הסייבר TAIA Global, Red Star יכולה להיות גם "קבוצת האקרים בלתי ממשלתית שגונבת קניין רוחני ומוכרת אותו לכל מי שמעוניין לקנות".
