טקטיקות ריגול סייבר

טקטיקות ריגול סייבר

This post is also available in: enEnglish (אנגלית)

Cyberespionage tactics

מעבדת קספרסקי חושפת את טקטיקות ריגול הסייבר העדכניות ביותר: מורכבות ומודולאריות על חשבון טווח יכולות.

מתקפות ריגול סייבר בגיבוי מדינות הופכות למתוחכמות יותר כשהן ממוקדות במשתמשים מוגדרים היטב, תוך שימוש בכלים מודולריים מורכבים המאפשרים צלילה מתחת לראדר של מערכות הגילוי אשר הפכו ליעילות יותר. כך חושפים מומחי מעבדת קספרסקי.

מגמה חדשה זו אומתה במסגרת מחקר עומק של פלטפורמת ריגול הסייבר EquationDrug. מומחי מעבדת קספרסקי גילו כי בהמשך להצלחה המתרחבת של התעשייה לחשוף קבוצות ריגול (APT), השחקנים המתוחכמים ביותר בתחום מתמקדים כעת בהקטנת מספר הרכיבים בפלטפורמות הזדוניות שלהם, כדי להפחית את יכולת הזיהוי שלהם ולהגדיל את ההסוואה.

הפלטפורמות העדכניות ביותר נושאות כעת מודולים רבים שניתן להוסיף, המאפשרים להם לבחור ולבצע טווח רחב של פעולות בהתאם לקורבן ולנתונים שהוא מחזיק. מעבדת קספרסקי מעריכה כי EquationDrug כולל 116 פלאגינים שונים.

"תוקפים מטעם מדינות מחפשים ליצור כלי ריגול סייבר אוניברסליים, אמינים, בלתי נראים ויציבים. הם מתמקדים ביצירת סביבות תוכנה בהן ניתן לעטוף קוד זדוני ולבצע בהן התאמה בתוך מערכת חיה. זאת, תוך שימוש בדרך אמינה לאחסן את כל הרכיבים והנתונים בצורה מוצפנת, שאינה נגישה למשתמשים רגילים." כך מסביר קוסטין ראיו, מנהל צוות המחקר והניתוח הגלובלי של מעבדת קספרסקי. התחכום של הסביבות האלה הופך את השחקנים האלה לנבדלים מעברייני הסייבר המסורתיים. האחרונים מעדיפים להתמקד בהשתלת קוד זדוני עם יכולות שנועדו להשגת רווחים מיידית."

דרכים נוספות בהן תוקפים מטעם מדינות מבדלים את הטקטיקה שלהם מזו של עברייני הסייבר:

היקף. עברייני סייבר מסורתיים מפיצים דואר אלקטרוני עם קבצים זדוניים בצורה המונית, או שהם מדביקים אתרי אינטרנט בהיקפים גדולים. בעוד שחקנים מגובי מדינה מעדיפים תקיפות נקודתיות וכירורגיות, המשפיעות רק על קומץ נבחר של משתמשים.

גישה יחידנית. בעוד עברייני סייבר מסורתיים בדרך כלל עושים שימוש בקוד מקור הזמין לציבור, כגון זה של הטרויאנים זאוס או Cabeb, שחקנים מגובי מדינה בונים קוד זדוני ייחודי, ומותאם אישית. הם אפילו מטמיעים בו הגבלות אשר מונעות פיענוח הצפנה והפעלה מחוץ למחשב המטרה.

הירשמו לאתר הישראלי לביטחון המולדת

שליפת מידע בעל ערך. עברייני סייבר, באופן כללי, מנסים להדביק כמות גדולה ככל האפשר של משתמשים. אך הם חסרים את הזמן ושטח האחסון כדי לבדוק את כל המכונות שהודבקו, ולנתח מי בעליהן, איזה מידע מאוחסן בהן, ואיזו תוכנה הן מריצות – ואז להעביר ולאחסן את כל המידע בעל פוטנציאל ערך.

כתוצאה מכך, הם בונים קוד זדוני מסוג הכל-כלול, אשר ישלוף רק את המידע בעל הערך הגבוה ביותר, כגון סיסמאות ומספרי אשראי, מתוך המחשבים הפגועים – פעילות אשר יכולה להעלות אותם על המכ"ם של כל תוכנת אבטחה מידע שמותקנת בהם.

תוקפים בגיבוי מדינות לעומת זאת, הם בעלי משאבים לאחסן כל כמות מידע שירצו. כדי להתחמק מתשומת הלב ולהישאר בלתי נראים עבור תוכנות האבטחה, הם מנסים להימנע מהדבקה של משתמשים אקראיים. במקום זאת הם מתבססים על כלי ניהול מערכת מרחוק אשר מעתיק כל מידע שהם עלולים להיזדקק לו ובכל כמות. אך שיטת פעולה זו יכולה גם לפעול נגדם, משום שהעברת כמויות גדולות של נתונים מאיטה את החיבור לרשת ויכולה להעלות חשד.

"זה עלול להיראות חריג שפלטפורמת ריגול סייבר עוצמתית כמו EquationDrug לא מגיעה עם יכולות גניבה כחלק סטנדרטי מקוד הליבה שלה. התשובה היא שהם מעדיפים לבצע התאמה מדויקת של המתקפה עבור כל קורבן בנפרד. רק אם הם בחרו לנטר אותך באופן אקטיבי, ואם מוצרי האבטחה במערכת שלך נוטרלו, אתה תקבל פלאגין לניטור חי של שיחות או כל פעולת מעקב אחרת. אנו מאמינים שמודולאריות וקסטומיזציה יהפכו לסימן היכר ייחודי של תוקפים מגובי מדינה".

תוכנת EquationDrug היא פלטפורמת הריגול המרכזית שפותחה על ידי קבוצת Equation. היא הייתה בשימוש במשך יותר מעשור, על אף שכעת היא מוחלפת בדרך כלל באמצעות פלטפורמת GrayFish המתוחכמת יותר. המגמות הטקטיות שאומתו במהלך הניתוח של EquationDrug זוהו לראשונה על ידי מעבדת קספרסקי במהלך מחקר שלה לגבי פעולות ריגול הסייבר Careto ו-Regin.


למידע נוסף


הרשמה לניוזלטר

SIMILAR ARTICLES

Power station illus. by Pixabay

רשת בלוקצ'יין

cyber warfare

applications

malware

fingerprint

cyber