|
בעלי מקצועות חופשיים מוזמנים להעביר אלינו לפרסום מאמרים, מידע בעל ערך חדשותי, חוות דעת מקצועיות בתחומים משפט, כלכלה, שוק ההון, ממשל, תקשורת ועוד, וכן כתבי טענות בהליכים בבית המשפט.
דוא"ל: vip@news1.co.il
|
|
|
|
|
התוקף השתיל דלת אחורית נוספת
|
|
|
קבוצת תקיפה המזוהה עם רוסיה עוקבת ותוקפת דיפלומטים אירופים
|
|
מחלקת המחקר של ESET חושפת שתי דלתות אחוריות שלא היו מוכרות עד כה ושימשו לפריצה למשרד יחסי חוץ אירופי ולצוותים הדיפלומטיים שלו ברחבי העולם, בעיקר במזה"ת ● הפריצות מיוחסות לקבוצת ריגול הסייבר הידועה לשמצה Turla
|
|
חברת אבטחת המידע ESET חושפת שתי דלתות אחוריות שלא היו מוכרות עד כה - LunarWeb ו-LunarMail, אשר שימשו לפריצה למשרד יחסי חוץ אירופי ולצוותים הדיפלומטיים שלו ברחבי העולם, בעיקר במזרח התיכון.
ב-ESET מאמינים כי מערך הכלים Lunar נמצא בשימוש משנת 2020 לפחות, ועל בסיס קווי דמיון בטקטיקות, הטכניקות, התהליכים והפעולות הקודמות, החוקרים משייכים את הפריצות האלה במידת ביטחון בינונית לקבוצת ריגול הסייבר הידועה לשמצה Turla, שמזוהה עם רוסיה. מטרת התקיפה היא ריגול סייבר.
המחקר בעניין החל בזיהוי של תוכנת טעינה שהועלתה לשרת לא מזוהה, שמצפין ומפענח קבצי הפעלה בתוך ומתוך קבצים אחרים. הזיהוי הוביל את חוקרי ESET לחשיפת דלת אחורית שלא הייתה מוכרת עד כה וכונתה על-ידי החוקרים בשם LunarWeb. לאחר מכן זוהתה שרשרת דומה ונחשפה הדבקה ב-LunarWeb אצל צוות דיפלומטי. התוקף השתיל דלת אחורית נוספת, אותה כינתה מחלקת המחקר בשם LunarMail, שמשתמשת בשיטה אחרת להעברת תקשורת שליטה ובקרה. במהלך מתקפה אחרת, ESET זיהתה הדבקות מקבילות ב-LunarWeb בשלושה צוותים דיפלומטיים של מדינה אירופית שפועלים במזרח התיכון, כשהתקיפות היו במרווח של דקות ספורות בין תקיפה לתקיפה. סביר להניח כי לתוקף כבר הייתה גישה ל-Domain Controller של אותו משרד יחסי חוץ, ושהוא השתמש בו כדי לנוע הצידה למחשבים אחרים של גופים הקשורים למשרד יחסי החוץ ומחוברים לאותה הרשת.
|
|
|
|
|
|
הדלת האחורית LunarWeb, שמוטמעת בשרתים, משתמשת בפרוטוקול HTTP(S) לתקשורת, שליטה ובקרה תוך התחזות לבקשות לגיטימיות, בזמן ש-LunarMail, שמוטמעת בתחנות עבודה, פועלת כתוסף ל-Outlook ומשתמשת בהודעות דוא״ל לתקשורת, שליטה ובקרה. שתי הדלתות האחוריות משתמשות בסטגנוגרפיה, טכניקה בה פקודות מוסתרות בקבצי תמונה כדי למנוע את זיהוין. קבצי הטעינה שלהן יכולים להתקיים בצורות שונות, כמו למשל תוכנות קוד-פתוח המודבקות בסוס-טרויאני, מה שממחיש את הטכניקות המתקדמות בהן משתמשים התוקפים.
״זיהינו רמות שונות של מורכבות בפריצות השונות, כמו ההתקנה הקפדנית על השרת שנפרץ כדי להימנע מזיהוי של תוכנות אבטחה, ומהצד השני שגיאות בכתיבת קוד וסגנונות שונים של כתיבת קוד בדלתות האחוריות. זה מצביע על כך שייתכן שאנשים נפרדים היו מעורבים בפיתוח והפעלת הכלים האלה״, מסביר פיליפ יורצ׳אקו, חוקר ESET שגילה את מערך הכלים Lunar.
מרכיבים שונים של תוכנות ההתקנה ופעולות של התוקף שהצלחנו לשחזר, מצביעים על כך שייתכן שהפריצה הראשונית קרתה באמצעות קמפיין פישינג ממוקד (Spearphishing) וניצול של הגדרות שגויות של הרשת ושל תוכנת ניטור האפליקציות Zabbix. בנוסף לכך, לתוקף כבר הייתה גישה לרשת; הוא השתמש בסיסמאות גנובות כדי לנוע בתוך הרשת ונקט צעדים זהירים כדי להשיג גישה לשרת מבלי לעורר חשד. בפריצה אחרת, החוקרים איתרו מסמך Word זדוני ישן, שסביר להניח ששימש כחלק מדיוג ממוקד.
|
|
|
|
|
|
הדלת האחורית LunarWeb אוספת ומדליפה מידע מהמערכת, כמו מידע על המחשב ומערכת ההפעלה, רשימת התהליכים הפועלים בו, רשימת שירותי Windows שמוגדרים בו ורשימה של מוצרי אבטחה המותקנים בו. LunarWeb תומכת בפעולות סטנדרטיות של דלתות אחוריות, כמו פעולות בקבצים ובתהליכים והפעלת פקודות Shell. בהרצה הראשונית, הדלת האחורית LunarMail אוספת מידע מהודעות הדוא״ל היוצאות של הקורבן (כתובות דוא״ל של נמענים). מבחינת יכולות השליטה, LunarMail היא פשוטה יותר ומשתמשת בחלק קטן יותר משלל הפקודות של LunarWeb. הדלת האחורית יכולה לכתוב לקובץ, ליצור תהליך חדש, לצלם צילום מסך ולשנות את כתובת הדוא״ל המשמשת לשליטה ובקרה. לשתי הדלתות האחוריות יש יכולת חריגה - הרצת סקריפטים של Lua.
קבוצת Turla, המוכרת גם בשם Snake, פעילה החל משנת 2004 לפחות, וייתכן שהחלה לפעול כבר בסוף שנות ה-90. הקבוצה, שלפי ההערכות משמשת כחלק ממנגנון ה-FSB הרוסי, ממקדת את מתקפותיה לישויות בפרופיל גבוה כמו ממשלות וארגונים דיפלומטיים באירופה, מרכז אסיה והמזרח התיכון. הקבוצה ידועה בפריצה לארגונים משמעותיים, כמו משרד ההגנה האמריקני בשנת 2008 וחברת ההגנה השוויצרית RUAG בשנת 2014.
|
|
| תאריך:
|
19/05/2024
|
|
|
עודכן:
|
19/05/2024
|
|
עידן יוסף
|
|
קבוצת תקיפה המזוהה עם רוסיה עוקבת ותוקפת דיפלומטים אירופים
|
|
עימות קשה התקיים (מוצ"ש, 19.5.24) בקבינט המלחמה בין ראש הממשלה וחלק משרי הקבינט סביב סוגיית המשא-ומתן לשחרור החטופים. ראש הממשלה בנימין נתניהו מתח ביקורת חריפה על התנהלות צוות המשא-ומתן - לדברי כמה מקורות, נתניהו נזף באלוף ניצן אלון ובראש המוסד דדי ברנע על ההצעות שהוצגו בפניו לקידום מתווה חדש למשא-ומתן.
|
|
|
|
|
דובר צה״ל שחרר לפרסום חומרי תיעוד שנמצאו על-ידי כוחות צה״ל ברצועת עזה. בסרטון נראית אלה אליקים בת 8 בעזה, מספר ימים לאחר שנחטפה מבית אביה בנחל עוז ב-7 באוקטובר. הסרטון צולם על-ידי מחבלי חמאס.
|
|
|
|
|
אוגדת יהודה ושומרון תרגלה (יום א', 19.5.24) התמודדות עם אתגרים ואירועים מתפרצים במספר חטיבות במקביל ביניהם אירועי טרור ותרחישי קיצון.
|
|
|
|
|
מנכ"ל שופרסל נדל"ן, אורן הוד, הודיע (יום א', 19.5.24) על התפטרותו מן החברה. כך פורסם בכלכליסט. הוד הוא המנהל הבכיר ביותר בקבוצת שופרסל שפורש מתפקידו לאחר שהאחים יוסי ושלומי אמיר רכשו את השליטה בקבוצה.
|
|
|
|
|
הותר לפרסום (יום א', 19.5.24) שמו של חלל צה"ל רב-סרן גל שבת ז"ל הי"ד מקציר. בן 24 היה בנופלו.
|
|
|
|
|
|
|
|
|
צבי גיל
קול ישראל היה בשעתו מוסד מכונן לתפארת, המסד והטפחות של השידור הארץ ישראלי בשפה העברית, בשפה הערבית לערביי כל האזור, ובשפות רבות בתפוצות
|
|
|
|
|
רון בריימן
יש בישראל קבוצה של 120 מורמים מעם, חברי כנסת ולא הם בלבד, מי שאטימותם אומנותם, מי שאינם נראים כשותפים למאמץ הלאומי מול האויב מדרום, מצפון וממזרח
|
|
|
|
|
חיים רמון
לקח לצה"ל קרוב לשלושה חודשים לפרק גדוד אחד של החמאס ולחסל את רוב לוחמיו, אבל תוך שישה חודשים הצליח החמאס לשקם בחזרה את הגדוד ולהכין אותו ללחימה אינטנסיבית
|
|
הבלוגרים הנקראים ביותר ב- News1
|
|
