לכל הארגונים, בין אם הם גדולים או קטנים, צריכים להיות אבטחה מתאימה על מנת למנוע ולהדוף מתקפות סייבר. אבל מה אם שחקן האיום המכוון למיזם הוא כל כך מתוחכם ועדין שכמעט בלתי אפשרי להבחין בהסתננות עד שיהיה מאוחר מדי?
ובכן, תכירו את Elephant Beetle - קבוצת האקרים בעלת מוטיבציה כלכלית שהתגלתה בתחילת 2022 שגנבה מיליוני דולרים מארגונים שונים עד כה.
אז איך הקבוצה הזו מבצעת את ההתקפות שלה? מי עומד מאחורי זה? והכי חשוב, איך ארגונים יכולים להגן על עצמם מפני זה? הנה כל מה שאתה צריך לדעת.
חיפושית פיל: קבוצת איום חמקני
חברת אבטחת סייבר ישראלית סיגניה פרסם דוח בינואר 2022 שחשף כי קבוצת האקרים בשם Elephant Beetle לקחה מיליונים מעסקים במגזר הפיננסי באמריקה הלטינית.
חיפושית הפיל משתמשת בטקטיקות מתוחכמות שונות כדי להסתתר מעיניו כשהיא חודרת למערכות של ארגון, צופה בנקודות התורפה שלו ואז מכה.
קָשׁוּר: מהי סריקת פגיעות וכיצד היא פועלת?
ברגע שהיא חודרת לארגון, הקבוצה בונה דלתות אחוריות ומתאימה את הכלים שלה כדי לבצע את ההתקפות שלה בצורה יעילה יותר בבוא הזמן. שלב זה יכול להימשך עד חודש. לאחר מכן, לתקופה ממושכת - עד מספר חודשים - התוקפים פשוט משתלבים ברקע בעצם חיקוי שלו ומחפשים חורי אבטחה במערכת היעד.
כאשר Elephant Beetle מסיימת לאסוף מידע, היא לא רק פורצת את דרכה דרך תשתית הסייבר של ארגון היעד. במקום זאת, הקבוצה יוצרת בשקט ובחשאי עסקאות הונאה, המחקות התנהגות לגיטימית, ולאט לאט גונבת מיליונים מהקורבן.
כדי לבצע את התקפותיה המבוססות על ג'אווה, Elephant Beetle משתמש בארסנל רחב של יותר מ-80 כלים ותסריטים ייחודיים, כתבו החוקרים בדו"ח שלהם. סכום הכסף שנגנב בעסקה בודדת הוא כל כך לא משמעותי שכמעט ולא מורגש כמעט לחלוטין, אבל העסקאות מסתכמות במיליוני דולרים לאורך זמן.
לפי Sygnia, אם ארגון מושפע מגלה ועוצר את חיפושית הפיל, הוא שוכב נמוך למשך מספר חודשים ואז תוקף מערכת אחרת. על פי הדיווחים, הקבוצה גנבה מיליוני דולרים מחברות תמימות במהלך השנים.
מי עומד מאחורי חיפושית הפיל?
סיגניה לא הצליחה לקבוע מי בדיוק עומד מאחורי חיפושית הפיל, אבל כמעט בוודאות יש קשר בין הקבוצה למדינות דוברות ספרדית. לאחר ניתוח מילות המפתח והביטויים שבהם משתמשת חיפושית הפיל, החוקרים קבעו שהקבוצה משתמשת, למשל, במילה הספרדית לפיל (פיל) עבור משתנה קוד.
יתרה מכך, הקבוצה כינתה את אחד מקבצי הפלט שלה "windows_para_linux", מה שמרמז שהחברים שלה מדברים ספרדית. ואחד הכלים שחיפושית הפיל משתמשת בו הועלה לפופולרי פלטפורמת סריקת תוכנות זדוניות VirusTotal מארגנטינה.
בנוסף, עדויות מצביעות על כך של-Elephant Beetle יש חיבור למקסיקו מכיוון שרוב ה-IPs של C2 (שרתי פקודה ובקרה) שבהם השתמשה הם ממקסיקו.
הקבוצה התמקדה בעיקר בחברות באמריקה הלטינית, אך אחת מהקורבנות שלה הייתה חברה אמריקאית עם סניף באמריקה הלטינית. עם זאת, כפי שציינו החוקרים של Sygnia, זה לא מצביע על כך שארגונים המבוססים במקומות אחרים בטוחים.
התגונן מפני חיפושית הפיל
לפי Sygnia, ישנם מספר צעדים שארגונים יכולים לנקוט כדי להגן על המערכות שלהם מפני חיפושית פיל וקבוצות איומים דומות.
בתור התחלה, הכרחי לעדכן את כל מערכות ההפעלה ולהשתמש בסיסמאות שונות עבור שרתים או ממשקים ניהוליים שונים. יתרה מכך, ארגונים צריכים לפקח על קבצי .class באופן קבוע - אלו הם קבצי Java המכילים קוד בייט שניתן להפעיל ב-Java Virtual Machine.
באופן כללי, כל ארגון ששומר על היגיינת אבטחת הסייבר שלו צריך להגדיר פרוטוקולי אבטחה ברורים לכל חלק מהעסקים שלו, לחנך את עובדיו, לפקוח עין על האיומים המתעוררים, לבצע ביקורות שוטפות ולגבות את כל נתונים חשובים.
צריך לדעת מתי העסק שלך נמצא תחת מתקפת סייבר? אתה צריך מערכת זיהוי ומניעת חדירה.
קרא הבא
- בִּטָחוֹן
- אבטחת סייבר
- סיכוני אבטחה
- אבטחת מידע
- פריצה
דמיר הוא סופר וכתב עצמאי שעבודתו מתמקדת באבטחת סייבר. מעבר לכתיבה, הוא נהנה מקריאה, מוזיקה וקולנוע.
הירשם לניוזלטר שלנו
הצטרף לניוזלטר שלנו לקבלת טיפים טכניים, ביקורות, ספרים אלקטרוניים בחינם ומבצעים בלעדיים!
לחץ כאן כדי להירשם
