אז מהי בעצם נוזקת Duqu2?

אז מהי בעצם נוזקת Duqu2?

This post is also available in: enEnglish (אנגלית)

39170747_mמוקדם יותר השנה התגלתה במעבדות חברת קספרסקי נוזקה חדשה שהתפשטה והשפיעה על מערכות החברה.

בעקבות הממצא המתואר, החלה החברה בחקירה מקפת אשר בסיומה, גילו חוקרי החברה תוכנת נוזקה מזן חדש אשר יכולותיה מצביעות על רמת תחכום גבוהה ועל יכולות ריגול מתקדמות.

בהמשך לגילוי, עדכנו חוקרי החברה את הרשויות הרלוונטיות ברחבי העולם. בעקבות עדכון זה, התגלו מערכות נגועות נוספות ברחבי ארה"ב, אנגליה, שוודיה, הודו והונג קונג.

בדיקות נוספות העלו כי התוקפים השתמשו בנוזקה זו על מנת לרגל אחר שיחות הגרעין האיראני במלונות ברחבי שוויץ וכן באירועי 70 שנה לזכר שחרור אושוויץ.

נוזקת 2Duqu הינה למעשה וריאנט חדש ועדכני של נוזקת Duqu הידועה לשמצה ומכאן שמה.

להזכירכם, נוזקת Duqu הינה תולעת ריגול מתקדמת אשר יכולותיה מתבטאות באיסוף מידע (קבצים רגישים, סיסמאות, פרטי משתמש ועוד) ומחיקת קבצים במחשב הנגוע. ל- Duqu היו כמה מאפיינים בולטים, ביניהם השימוש בפגיעות Zero-Day של מערכת ההפעלה Windows (CVE-2011-3402) ושימוש ב Certificates גנובים לצרכי הסוואה ומעקף של מערכות אבטחת המידע. בנוסף, ל- Duqu הייתה היכולת לתקשר בזמן אמת עם מפעיליה לצורך קבלת הוראות באמצעות שרת פיקוד (C&C).

Duqu  העבירה את המידע הרגיש למפעיליה על ידי יצירת קבצים בעלי תחילית של ~dq ושליחתם במייל או ע"י תקשורת מוסווה אל אתר איסוף נתונים שהוסווה כאתר תמים.

מעבר לכך, Duqu גם השתמשה בקבצי Jpeg ובתיקיות מוצפנות על מנת לאגור מידע סודי ולשדרו. לאחר 36 ימי ריגול, Duqu מחקה את עצמה ממערכות ומחשבי הקורבנות ללא עיקבות.

מניתוח Duqu2 ודרך פעולתה עולים הממצאים הבאים:

מבנה הנוזקה:

Duqu2 בנויה מ- 2 חלקים, הראשון שביניהם הינו Backdoor המאפשר תקשורת דו כיוונית בין מחשב הקורבן למפעילי הנוזקה. חלקה השני של הנוזקה מורכב ממספר מודולים אשר מספקים יכולות איסוף מודיעין מתקדמות כגון: מיפוי הרשת שאליה מחובר מחשב הקורבן, יכולות הפעלה מרחוק של אמצעי האזנה המובנים במחשב הקורבן (מיקרופון/מצלמה וכדומה).

דרכי הדבקת הקורבנות:

דרך ההדבקה הראשונית של הנוזקה לא ידועה, אך החשד הוא שהנ"ל בוצע באמצעות דואר פישינג מתוחכם וממוקד. חשד זה מבוסס על העובדה כי במחשבים החשודים כנקודות הדבקה ראשוניות נמחקו היסטוריית הגלישה בדפדפן וכן תכתובות מתיבת הדואר שלהם.

השלב הבא בתקיפה:

על מנת לשתול את Duqu2 במחשבי הקורבנות, ניצלו התוקפים פגיעות Zero-day במערכת ההפעלה Windows (CVE-2014-6324) המאפשרת ל Domain user פשוט להרחיב את הרשאותיו לאדמיניסטרטור ובנוסף נעשה שימוש ב- “ pass the hash ” בכדי לעבור בין מחשבים ברשת הפנימית ובאמצעות כך לגשת לכלל משאבי הרשת. בעניין זה נדגיש כי התוקפים הגנו על הפוגען כך שישרוד גם את תיקוני טלאי האבטחה של Microsoft (Security patch) בכך שלפוגען יכולת להציג תעודה דיגיטלית "מקורית" של חברת Foxconn ואחרות כמותה על מנת להוכיח את "חוקיותו" במערכת.

מרגע קבלת הרשאות האדמיניסטרטור, ביצעו התוקפים מספר פעולות ע"מ להפיץ את הנוזקה ברשת המחשוב: הם הכינו ערכות התקנה מוצפנות לנוזקה בכיסוי של ערכת התקנה לגיטימית  ל Windows (MSI) והפיצו אותן למחשבי הרשת. דרך ההפצה הייתה ע"י שימוש בקובץ msiexec.exe (קובץ מערכת הפעלה המשמש להתקנת תוכנות). בנוסף, יצרו התוקפים שרות (Service) ברשת על מנת להריץ את ערכת ההתקנה כמשימה עתידית (Task Schedular) במערכת ההפעלה.

ברגע שערכת ההתקנה רצה על מחשבי הרשת, הערכה שימשה כ- Loader לשאר המודולים של Duqu2. מבדיקה שנערכה עולה כי ערכת ההתקנה הכילה כעשרה מודולים שונים המאפשרים את יכולות הריגול שנציין בהמשך.

חשוב להדגיש בשלב זה, כי התוקפים היו זהירים מספיק להשתמש במספר אלגוריתמי הצפנה וכן בשמות קבצים שונים בכדי להימנע מזיהוי של אמצעי ההגנה (כגון AntiVirus).  עובדה זו מצביעה על רמת תחכום גבוהה וכן על הבנה עמוקה של תחום זיהוי הנוזקות על ידי התוקפים.

המודול הראשי של Duqu2 (Orchestrator) הנו רכיב התקשורת אל מול שרתי ה C&C  של התוקפים, התקשורת התבצעה על גבי פרוטוקול Https מוצפן תחת ה- Self-signed Certificate. בנוסף השתמשו התוקפים בפרוטוקולי Http, SME Network pipes, קישור TCP/IP בפרוטוקול ייעודי וכן בפרוטוקול Http להעברת מידע מקודד ומוצפן שהוטבע בקובצי תמונות של Jpeg/GIF כפי שבוצע ב- Duqu.

מעבר למודול הראשי, הכילה ערכת ההתקנה מודולים נוספים לריגול – להלן העיקריים שבהם:

מודול לאיסוף מידע על המחשב והרשת בה הוא נמצא

מודול לחיפוש דומיינים, למיפוי כל השרתים ושיתופי הרשת בדומיין

מודול הדבקה המיועד לגניבת סיסמאות admin מתהליכים שרצים במחשב ובאמצעות כך, התחברות למחשבים נוספים

מודול השתלטות מרחוק (Remote desktop administration) הכולל יכולת לשלוח פלט וקלט לשולחן העבודה, להזיז את סמן העכבר ולצלם את שולחן העבודה של המשתמש.

מודול לזיהוי network sniffers הפועלים בתשתיות המחשוב (wireshark, tcpview, netstat dumpcap, perfmon וכדומה)

מודול המאפשר חילוץ מידע מבסיסי נתונים

עוד חלק מהייחודיות והמורכבות של Duqu2 הינה שהפוגען פעל כולו בזיכרון המחשב הנגוע, כלומר הפוגען לא השאיר אחריו עקבות על המחשב (קרי, ברגע כיבוי והדלקת המחשב, הפוגען נעלם). כדי להפיץ מחדש את הפוגען לאחר כיבוי והדלקת המחשב, הדביקו התוקפים שרתים בזמינות גבוהה ומשרתים אלו שלחו את הפוגען למכונות בעלות זמינות נמוכה יותר.

Duqu2 הינה הדור הבא של תוכנות הריגול. רמת התחכום של Duqu2 מציגה יכולות טכנולוגיות מתקדמות המצביעות על כך כי מדינה או גוף בעל משאבים משמעותיים עומד מאחוריה.

שגיאת כתיב במודול איסוף המידע מרמזת על כך כי כותב המודול אינו דובר אנגלית כשפת אם, אך אין לדעת באם שגיאה זו הוכנסה במכוון.

לסיכום, אין בידינו כיום מידע מדוע הודבקה רשת המחשוב של חברת קספרסקי או מי עומד מאחורי פוגען זה. עד כה, נחשפנו למגוון תאוריות בנוגע לזהות התוקפים, אך אין בידינו או בידי אף גורם אחר הוכחה תקפה לזהותם.

מאת גיא דגן – מנהל מודעות אבטחת המידע והסייבר

מיקי שאודר – תחום לוחמת הסייבר

בנק הפועלים


למידע נוסף


הרשמה לניוזלטר

SIMILAR ARTICLES

image provided by pixabay

image provided by pixabay

counter terror tech

images provided by pixabay

image provided by pixabay

image provided by pixabay

image provided by pixabay

image provided by pixabay