וירוס חדש תוקף במזרח אסיה
איום חדש מסוג APT בשם IXESHE (מבוטא “i-sushi”) התגלה באחרונה על רשתות מחשבים של חברות האלקטרוניקה מטייוואן ומספר ממשלות במזרח אסיה
IsraelDefense
| 19/05/2011
לוגו
איום חדש מסוג APT בשם IXESHE (מבוטא “i-sushi”) התגלה באחרונה על רשתות מחשבים של חברות האלקטרוניקה מטייוואן ומספר ממשלות במזרח אסיה, כך עולה ממחקר שפרסמה חברת אבטחת המידע Trend Micro.
אחד המאפיינים הבולטים של ה-IXESHE הוא השימוש של התוקפים בשרתים שנפרצו בארגוני היעד למטרות שליטה ובקרה. טקטיקה זו אפשרה להם להסתיר את נוכחותם על ידי בלבול פעילותם עם נתונים של אנשים לגיטימיים בארגון.
במקרה אחד מסוים, ראינו שרתי שליטה ובקרה (C & C) מתארחים על המכונות שנפרצו במדינה במזרח אסיה, עובדה ההופכת את ההתקפות הממוקדות נגד הממשלה לפשוטות יותר. במקרה אחר, קיבלנו הודעת שגיאה משרת שליטה ובקרה, אשר ציינה כי השרתים החזיתיים (front-end servers) בקושי מתנהגים כמו פרוקסי עבור השרתים העורפיים (back-end servers).
המחקר הראה גם כי התוקפים השתמשו במערכת דינמית לשמות מתחם (DNS) עבור שרתים חיצוניים ואלו הפיצו את שרתי השליטה והבקרה ברחבי העולם כך שיהיה קשה יותר לזהות אותם.
על פי הערכת המחקר, מתקפת ה-IXESHE מתנהלת מאז יולי 2009 לפחות. השיטה העיקרית להיכנס למערכות הארגון היא באמצעות קבצים זדוניים מסוג PDF אשר מנצלים תוכנות כמו Adobe Acrobat, Reader, או פגיעויות בנגן הפלאש. קבצים זדוניים אלו נשלחים כקבצים מצורפים להודעות ממוקדות הנשלחים לקורבנות פוטנציאליים בארגוני היעד.
על פי המחקר, לאחר שמתקפת ה-APT זיהמה את המחשב, התוכנה הזדונית איפשרה לצדדים לא ידועים לשלוט עליו מרחוק ולעקוב אחר הפעילות המתבצעת בו. הודעות הדואר האלקטרוני עם הקבצים הזדוניים הציגו כותרות כמו "דיון על שיתוף פעולה ימי", "ממשל אובמה והמזרח התיכון" וגם "קסם הדיפלומטיה של סין בועידת BRICS", כך נכתב באתר fastcompany.
בתהליך החקירה, נמצא כי ניתן לחלק את הקורבנות באופן כללי לשלוש קטגוריות: ממשלות מזרח אסיה, יצרני אלקטרוניקה וחברת תקשורת גרמנית. פרטים נוספים, ניתן למצוא במאמר המלא באתר Trend Micro.
איום חדש מסוג APT בשם IXESHE (מבוטא “i-sushi”) התגלה באחרונה על רשתות מחשבים של חברות האלקטרוניקה מטייוואן ומספר ממשלות במזרח אסיה
לוגו
איום חדש מסוג APT בשם IXESHE (מבוטא “i-sushi”) התגלה באחרונה על רשתות מחשבים של חברות האלקטרוניקה מטייוואן ומספר ממשלות במזרח אסיה, כך עולה ממחקר שפרסמה חברת אבטחת המידע Trend Micro.
אחד המאפיינים הבולטים של ה-IXESHE הוא השימוש של התוקפים בשרתים שנפרצו בארגוני היעד למטרות שליטה ובקרה. טקטיקה זו אפשרה להם להסתיר את נוכחותם על ידי בלבול פעילותם עם נתונים של אנשים לגיטימיים בארגון.
במקרה אחד מסוים, ראינו שרתי שליטה ובקרה (C & C) מתארחים על המכונות שנפרצו במדינה במזרח אסיה, עובדה ההופכת את ההתקפות הממוקדות נגד הממשלה לפשוטות יותר. במקרה אחר, קיבלנו הודעת שגיאה משרת שליטה ובקרה, אשר ציינה כי השרתים החזיתיים (front-end servers) בקושי מתנהגים כמו פרוקסי עבור השרתים העורפיים (back-end servers).
המחקר הראה גם כי התוקפים השתמשו במערכת דינמית לשמות מתחם (DNS) עבור שרתים חיצוניים ואלו הפיצו את שרתי השליטה והבקרה ברחבי העולם כך שיהיה קשה יותר לזהות אותם.
על פי הערכת המחקר, מתקפת ה-IXESHE מתנהלת מאז יולי 2009 לפחות. השיטה העיקרית להיכנס למערכות הארגון היא באמצעות קבצים זדוניים מסוג PDF אשר מנצלים תוכנות כמו Adobe Acrobat, Reader, או פגיעויות בנגן הפלאש. קבצים זדוניים אלו נשלחים כקבצים מצורפים להודעות ממוקדות הנשלחים לקורבנות פוטנציאליים בארגוני היעד.
על פי המחקר, לאחר שמתקפת ה-APT זיהמה את המחשב, התוכנה הזדונית איפשרה לצדדים לא ידועים לשלוט עליו מרחוק ולעקוב אחר הפעילות המתבצעת בו. הודעות הדואר האלקטרוני עם הקבצים הזדוניים הציגו כותרות כמו "דיון על שיתוף פעולה ימי", "ממשל אובמה והמזרח התיכון" וגם "קסם הדיפלומטיה של סין בועידת BRICS", כך נכתב באתר fastcompany.
בתהליך החקירה, נמצא כי ניתן לחלק את הקורבנות באופן כללי לשלוש קטגוריות: ממשלות מזרח אסיה, יצרני אלקטרוניקה וחברת תקשורת גרמנית. פרטים נוספים, ניתן למצוא במאמר המלא באתר Trend Micro.
