NewsPenguin הולך לדיוג לסודות ימיים וצבאיים

שחקן איום חדש שחוקרים כינו "NewsPenguin" מנהל מסע ריגול נגד המתחם הצבאי-תעשייתי של פקיסטן במשך חודשים, תוך שימוש בכלי תוכנות זדוניות מתקדם. 

ב בלוג ב-9 בפברואר, חוקרים מ-Blackberry חשפו כיצד קבוצה זו תכננה בקפידה קמפיין דיוג המכוון למבקרים בתערוכת הפקיסטן הבינלאומית הימית הקרובה (PIMEC).

PIMEC יתקיים במהלך סוף השבוע הקרוב. זוהי יוזמה של חיל הים הפקיסטני שלפי ממשלה בידיעה שהונפקה לתקשורת, "יספק הזדמנויות לתעשייה הימית הן במגזר הציבורי והן במגזר הפרטי להציג מוצרים ולפתח קשרים עסקיים. האירוע גם ידגיש את הפוטנציאל הימי של פקיסטן ויספק את המילוי הרצוי לצמיחה כלכלית ברמה הלאומית".

המשתתפים ב-PIMEC כוללים בין היתר מדינות לאום, צבאות ויצרנים צבאיים. עובדה זו, בשילוב עם השימוש של NewPenguin בפיתוי דיוג מותאם ופרטים הקשריים אחרים של המתקפה, הביאו את החוקרים למסקנה "ששחקן האיום מכוון באופן פעיל לארגונים ממשלתיים".

כיצד NewsPenguin מבצע דיוג עבור נתונים

NewsPenguin מושך את קורבנותיו באמצעות דוא"ל דיוג בחנית עם מסמך Word מצורף, המתיימר להיות "מדריך לתערוכה" לכנס PIMEC.

למרות ששם הקובץ היה דגל אדום למדי - "Important Document.doc" - נראה כי תוכנו נקרע ישירות מהחומרים של האירוע בפועל, כולל חותמות ממשלתיות ואסתטיקה כמו כלי תקשורת אחרים שפורסמו על ידי המארגנים.

המסמך נפתח לראשונה בתצוגה מוגנת. לאחר מכן על הקורבן ללחוץ על "הפעל תוכן" כדי לקרוא את המסמך, מה שמפעיל התקפת הזרקת תבנית מרחוק.

התקפות הזרקת תבניות מרוחקות נמנעות בחוכמה מזיהוי קל על ידי שתילת תוכנות זדוניות לא במסמך אלא בתבנית המשויכת לו. זוהי "טכניקה מיוחדת המאפשרת להתקפות לעוף מתחת לרדאר", מסביר דמיטרי בסטוז'ב, חוקר איומים ב-BlackBerry ל-Dark Reading, "במיוחד למוצרים דמויי זיהוי ותגובה (EDR). הסיבה לכך היא שפקודות המאקרו הזדוניות אינן בקובץ עצמו אלא בשרת מרוחק - במילים אחרות, מחוץ לתשתית של הקורבן. כך, המוצרים המסורתיים שנבנו כדי להגן על נקודות הקצה והמערכות הפנימיות לא יהיו יעילים".

טכניקות ההתחמקות של NewsPenguin

המטען בסוף זרימת ההתקפה הוא קובץ הפעלה ללא שם מבדיל, המכונה בפוסט הבלוג "updates.exe". כלי הריגול הזה שטרם נראה הוא אולי הבולט ביותר רק עד כמה רחוק הוא מגיע להתנגד לגילוי וניתוח.

לדוגמה, כדי להימנע מהשמעת רעשים חזקים בסביבת רשת יעד, התוכנה הזדונית פועלת בקצב של חילזון, תוך חמש דקות בין כל פקודה.

"העיכוב הזה נועד לא לגרום ליותר מדי פעילות ברשת", מסביר בסטוז'ב. "זה נשאר שקט ככל האפשר, עם פחות טביעות רגל למערכות זיהוי לקלוט."

התוכנה הזדונית NewsPenguin מבצעת גם סדרה של פעולות כדי לבדוק אם היא נפרסת במכונה וירטואלית או בארגז חול. מומחי אבטחת סייבר אוהבים ללכוד ולנתח תוכנות זדוניות בסביבות אלה, המבודדות כל השפעות זדוניות משאר המחשב או הרשת. האקרים, בתורם, יודעים להימנע מסביבות מבודדות אלה אם הם לא רוצים להיתפס.

החוקרים ספרו כמה שיטות התחמקות שונות ב-updates.exe, ש"כוללת שימוש ב-GetTickCount" - פונקציית Windows המדווחת כמה זמן עבר מאז הפעלת המערכת - "כדי לזהות ארגזי חול עוקפים פונקציות שינה, בדיקת גודל הכונן הקשיח, ודורש יותר מ-10GB של זיכרון RAM", על פי הדו"ח.

הפתילים ש-News Penguin רוצה

החוקרים לא הצליחו לחבר את NewsPenguin לאף גורם איומים ידוע. עם זאת, הקבוצה כבר עובדת כבר זמן מה.

הדומיינים הקשורים לקמפיין נרשמו כל הדרך ביוני ואוקטובר של השנה שעברה, למרות ש-PIMEC התרחש רק בסוף השבוע הזה.

"תוקפים קצרי רואי בדרך כלל לא מתכננים פעולות כל כך הרבה מראש, ואינם מבצעים שמירת דומיין ו-IP חודשים לפני השימוש בהם", ציינו מחברי הדו"ח. "זה מראה ש-NewsPenguin ביצע תכנון מוקדם וכנראה ערך פעילות במשך זמן מה."

בזמן הזה, הוסיפו המחברים, NewsPenguin "משפרת ללא הרף את הכלים שלה לחדור למערכות קורבנות".

בין האופי המיועד של התקיפה, לבין פרופיל הקורבנות, מתחילה להתבהר התמונה הגדולה יותר. "מה קורה בדוכני הכנס?" שואל בסטוז'ב. "המשתתפים ניגשים אל המציגים, מפטפטים ומחליפים מידע ליצירת קשר, שצוות הדוכן רושם כמובילים באמצעות טפסים פשוטים כמו גיליונות אלקטרוניים. התוכנה הזדונית NewsPenguin בנויה כדי לגנוב את המידע הזה, ועלינו לשים לב שכל הכנס עוסק בטכנולוגיות צבאיות וימיות."

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
• מקור: https://www.darkreading.com/risk/newspenguin-phishing-maritime-military-secrets