מעבדת קספרסקי חשפה לאחרונה קמפיין ריגול סייבר חדש הממוקד בעסקים בשם Grabit, שהצליח לגנוב כ- 10,000 קבצים מארגונים קטנים ובינוניים, בין הנפגעים גם ארגונים מישראל. רשימת המגזרים העסקיים שנפגעו כוללת כימיקלים, ננו טכנולוגיה, חינוך, חקלאות, מדיה, בינוי ועוד. רשימת המדינות הנפגעות כוללת את תאילנד, הודו, ארה”ב, איחוד האמירויות, גרמניה, קנדה, צרפת, אוסטריה, סרי לנקה, צ’ילה ובלגיה.
“אנו רואים קמפיינים רבים של ריגול הממוקדים בארגונים, גופים ממשלתיים וישויות נוספות בעלות פרופיל גבוה, כשעסקים קטנים ובינוניים נמצאים רק לעיתים רחוקות ברשימת הקורבנות. אבל Grabit מראה כי לא מדובר רק משחק של ‘דגים גדולים’ – בעולם הסייבר כל ארגון בודד, בין אם הוא מחזיק בכסף, מידע או השפעה פוליטית, הוא בעל הפוטנציאל להוות גורם עניין עבור גוף זדוני כזה או אחר. Grabit עדיין פעיל, ולכן חיוני לבדוק את הרשת שלך כדי לוודא שאתה מוגן. ב- 15 במאי נמצא קילוגר פשוט של Grabit אשר מכיל אלפי הרשאות לחשבונות של קורבנות אותן אסף ממאות מערכות נגועות. לא ניתן לזלזל באיום שכזה”, אמר עידו נאור, חוקר אבטחה בכיר בצוות מחקר וניתוח גלובלי של מעבדת קספרסקי.
הדבקות בקוד הזדוני מתחילות כאשר משתמש בארגון עסקי מקבל הודעת דואר עם קובץ מצורף, שנראה כמו קובץ של מיקרוסופט וורד (.doc). כאשר המשתמש מקליק כדי להוריד אותו, תוכנת הריגול מועברת למכונה משרת מרוחק אשר נפרץ על הקבוצה כדי שישמש כנקודת ממסר. התוקפים שולטים בקורבנות שלהם באמצעות HawkEye Keylogger, כלי ריגול מסחרי של HawkEyeProducts, ומודול הגדרות המכיל מספר כלי ניהול מרחוק (RATs)
כדי להמחיש את היקף הפעילות, מעבדת קספרסקי יכולה לחשוף כי קילוגר שנמצא רק באחד משרתי הפיקוד והשליטה הצליח לגנוב 2887 סיסמאות, 1053 הודעות דואר אלקטרוני ו- 3023 שמות משתמש פנימיים וחיצוניים, מתוך 4928 מקורות שונים, עבור מאאוטלוק, פייסבוק, סקייפ, גוגל, ג’ימייל, פינטרסט, יאהו, לינקדין וטוויטר, וכן חשבונות בנקים וחשבונות אחרים.
קבוצת פשיעה מעורבת
מצד אחד, Grabit אינה עושה מאמץ מיוחד כדי להסתיר את הפעילות שלה: חלק מדוגמיות הקוד הזדוני שנאספו השתמשו באותו שרת אירוח, ואפילו באותן הרשאות, כשהיא פוגעת באבטחה שלה עצמה. מצד שני, התוקפים השתמשו בטכניקות מזעור חזקות כדי לשמור על הקוד שלהם חסוי מעיני האנליסטים. הדבר מוביל את מעבדת קספרסקי להאמין כי מאחורי פעילות הריגול נמצאת קבוצה מעורבת, כשחלק מהחברים יותר טכניים וממוקדים במניעת מעקב מאשר אחרים. הערכות הן כי מי שתכנת את הקוד הזדוני לא כתב את כל הקוד מאפס.
כדי להגן מפני Grabit, מעבדת קספרסקי ממליצה על כללי האצבע הבאים:
- בדוק את המיקום C:\Users\<PC-NAME>\AppData\Roaming\Microsoft. אם הוא מכיל קבצי הפעלה ייתכן ואתה נגוע בקוד הזדוני. זו התרעה שאסור להתעלם ממנה.
- הגדרות של מערכת חלונות לא צריכה להכיל grabit1.exe בטבלת האתחול. הרץ פקודת “msconfig” והבטח כי היא נקיה מרשומות grabit1.exe
- אל תפתח קבצים מצורפים וקישורים מאנשים שאתה לא מכיר. אם אתה לא יכול לפתוח את הקישור, אל תשלח לאחרים – קרא לסיוע מצד מנהל ה- IT.
- השתמש בפתרון אנטי קוד זדוני מעודכן ומתקדם, ותמיד בדוק את משימות האנטי וירוס אחר תהליכים חשודים.
