הסוס הטרויאני הסיני!
לא מזמן קראתי מחקר שהתבצע ע"י שני חוקרים: שישיר נג'רג'ה ורוס אנדרסון באוניברסיטאות קיימברידג' ואילינוי ובהרשאה של U.S. Department of Homeland Security.
הגדרת הפעילות היא ריגול ומעקב אלקטרוני ע"י malware שהתבצע ע"י ארגון הביון הסיני על ארגון פוליטי טיבטי (משרד הדלאי לאמה).
החוקרים מגדירים שאמנם malware היא צרה נפוצה אך זה חידוש שמדינה/ארגון פוליטי מפעילים ע"י משטרה וכוחות הביטחון כלים כאלה למרות הבעיה של חשיפת הכלים.
החוקרים גם מציינים שהכלים האיכותיים יחד עם הפישינג האיכותי מוכיח עצמו יעיל בצורה כמעט מוחלטת.
הם מוסיפים ואומרים שיש מעט מאוד ארגונים שהם לא ארגוני מודיעין או גופים ביטחוניים שיכלו לבצע את המתקפות ברמה המדוברת.
רקע:
הפעילות של הדלאי לאמה מרוכזת ע"י המשרד של הוד קדושתו הדלאי לאמה – OHHDL ורוב פעילותו היא דיפלומטית + פעילות הנוגעת לריכוז כנסים, נסיעות והפצת התורה שלו בכנסים דתיים ברחבי העולם.
OHHDL התחיל לפעול באמצעות האינטרנט בתחילת שנות ה-90 וכיום רוב הפעילות מתבצעת דרך האינטרנט באמצעות emails.
איך העניין התחיל?
OHHDL התחילו לחשוד שהם תחת מעקב אינטרנטי כשניסו לארגן פגישות של הדלאי לאמה עם גורמים שונים.
הם שלחו MAIL לגורמים אך לפני שהספיקו לבצע אליהם שיחת טלפון לתיאום, הגורמים קיבלו טלפונים מהממשלה הסינית שהזהירה שלא תראה בעין יפה פגישה עם הלאי לאמה.
הדבר עורר את חשד ה- OHHDL שהמחשבים שלהם תחת מעקב.
מחקר ראשוני:
לאחר מחקר התברר שחלק מהספאם ממנו סובל ה-OHHDL הוא אמנם spam אך חלק ממנו הוא דואר זבל שמיועד ונכתב כך ש-OHHDL יפתחו אותו (Targeted Spam).
ה-OHHDL משתמש בשירות Hosting+Mail של חברה אמריקאית הממוקמת בקליפורניה.
בדיקה של הלוגים בשרתי ה-Hosting גילו logins מוצלחים מכתובות IP ששיכות לכמה ספקיות מסין והונג קונג שאין להן קשר ל-OHHDL.
כיוון שמדובר בפחות מ-50 כתובות מייל ששיכות ל-OHHDL –וכל ה-Logins שוייכו אליהן ולא לאף לקוח אחר, אין סיכוי סביר שזו היתה פריצה סתם או טעות כלשהיא.
נתון נוסף הוא שיש Logins גם מ-ISP שנמצא במחוז Xinjiang Uyghur ששם ממוקמים גופי משטרה ובטחון סיניים שעיקר עיסוקם הוא בפעילות הטיבטית.
חקירת ה-Forensics בוצעה ע"י החוקרים:
1. OHHDL עובדים מול חברת ה-HOSTING וקוראים מייל בצורה לא מוצפנת.
2. שרת המייל מאפשר קשר אליו ב-POP, IMAP, HTTP. כולם לא מוצפנים ולכן שמות וסיסמאות עובדים כ-Plain Text בתווך.
3. הסיסמאות שנבחרו ע"י הנזירים היו פשוטות, קלות לשבירה ולא עמדו בשום תקן סביר. (סיסמאות נפרצו ע"י John The Ripper בכ-15 דקות).
ההמלצות המיידיות היו שהנזירים יאמצו מדיניות סיסמאות סבירה, יתחילו להשתמש ב-TLS Encryption.
מיותר לציין שהמלצות אלה לא עזרו לטיבטים יותר מדי.
התוקפים עבדו בצורה שונה..
The Attack Vector:
הודעות הספאם האיכותיות הכילו בתוכן Attachments שהכילו Payloads זדוניים.
המיילים עבדו כיוון שהיו מטורגטים ואיכותיים. הם נכתבו בנושאים שמעניינים את התנועה ונראו כאילו הם מגיעים מעמיתים ותומכים.
דרך נוספת שהשתמשו בה היתה לינקים לאתרים המכילים Malwares.
החוקרים לא ממש יודעים איך "עלו" על הסיסמאות של הנזירים.
חלק מההערכות שלהם:
- מעקב אחר הנזירים שמשתתפים בפעילויות שונות ורישום שמותיהם ותחומי העניין שלהם.
- ניחוש סיסמאות
- John The Ripper
- פריצה לשרת המייל
- …
ההערכה שלהם היא שהתוקפים השתמשו ברשימות תפוצה משוייכות לעניין הטיבטי כדי לבנות את ה-Spam האיכותי וכדי להפיץ את תוכנות הריגול שלהם (ברשותכם, מעכשיו אקרא להם סוסים).
מהרגע שהמטרות הראשונות נדבקו התוקפים השתמשו במידע ובמיילים שיכלו לקרוא כדי לייצר התקפות Social Engineering איכותיות שנראות שמגיעות מעמיתים.
כך הם התפשטו ברשת בצורה מכוונת לאנשי מפתח בארגון ובעיקר כיוונו אל אנשי ה-IT) Sysadmin team).
דרך נוספת היתה "ללכוד" דואר לגיטימי שמשתמש קיבל ולהחליף את ה- Attachment שלו ב-Attachment מדביק.
ה-Payload:
ה-Attchments המדביקים בהם השתמשו התוקפים היו מסוג DOC או PDF שהתקינו Rootkit על המחשב בהם נפתחו.
ה-Rootkit (סוס לכל דבר במקרה הזה) הזליג באמצעות פרוטוקול ייעודי שרוכב על http מידע לשלושה שרתים שמאוכסנים ב-ISP סיני הממוקם במחוז סיצ'ואן (שם יושבת יחידה של ארגון הביון הסיני המתמחה במעקב אחר OHHDL).
מסמכי ההדבקה נשלחו לחוקר בחברת F-Secure (חוקר בשם MIKKO HYPPONEN) שקבע שהסוס מכיל יכולות חיפוש והבאה של קבצים וכן תכונות נוספות כגון Keylogger.
הדבר מאשש את החשד שהסוס קיבל הרשאות מלאות על הנתונים במחשב הנגוע.
היו מקרים בהם נזירים ב-OHHDL דיווחו שראו את ה-Outlook Express שלהם נפתח ושולח מסמכים ו-attachments בלי התערבותם.
קוריוז:
בהתחלה החוקרים חשבו שהתוקפים מסווים עצמם באמצעות TOR.
לאחר שבדקו את העניין ראו שכתובות ה-IP שמתועדות בלוגים אינן תואמות ל-Exit Nodes של TOR.
מה שכן – רואים שכתובות ה-IP יוצאות מ-DYNAWEB, סט פרוקסים אנונימיים שמשוייכים לתנועה דתית סינית אחרת שגם אותה הממשלה בסין לא מסמפטת במיוחד.. כאילו שניסו "לתפור" את העניין על אותה תנועה (Falun Gong).
ההשערה של החוקרים היא שהתוקפים הבינו שחוקרים את המקרה וניסו להסוות פעילותם ע"י הפללה של מישהו אחר.
המסקנות של החוקרים:
1. הארגון הטיבטי OHHDL לא עמד בשום סטנדרט של אבטחת מידע. זה מתחיל ממדיניות סיסמאות וממשיך באכסון של מסמכים מסווגים על גבי מחשבים אישיים המחוברים לאינטרנט.
2. רובה ככולה של ההתקפה מבוססת על אמון מלא שנתנו הנזירים במשאבי המחשב שלהם. הם פתחו דבוקות, לחצו על לינקים וכל זאת בלי שום חשש או חשד גם כשמדובר בדואר מאנשים שהם לא מכירים.
3. ההתקפה המתועדת בוצעה ע"י גוף ביון של מעצמה אך לדבריהם – אין מניעה שהתקפה כזו תיוצר ע"י גוף קטן. אין שום הוכחה שהמידע הושג ע"י "האזנה" על הקו בין Dharamsala לקליפורניה דבר שהיה מעיד על גוף ביון מעצמתי. לא היה שום צורך כזה לאור הכלים בהם השתמשו התוקפים ולכן קובעים החוקרים שהדבר יכל להיות מבוצע גם ע"י האקר יחיד.
4. החוקרים מעידים שאם פעם הפצת סוסים ע"י SPAM מכוון דרשה האקר מתוחכם, היום כל אחד יכול לעשות זאת ע"י רכישת כלים המשמשים גם את המאפיות הרוסיות והסיניות ואפילו פושעים זוטרים.
אז איך למנוע מקרים כאלה?
החוקרים מחלקים את ההמלצה שלהם להמלצות טכניות וכן המלצות תפעוליות.
ברמה הטכנולוגית החוקרים נותנים סט המלצות שמדברות על Mandatory Access Control ועל Multi Level Security – אני אשתדל לכתוב על הנושאים האלה כדי להסביר אותם טוב יותר אם זה מעניין את קהל הקוראים
הם ממליצים להשתמש במוצרים כגון Firewall, Mail Gateway וכן ליישם SElinux על שרת הדואר.
הבעיה היותר גדולה היא החינוך והמודעות של האנשים לאבטחת מידע וכן תפעול מוכוון אבטחה. החוקרים ממליצים על סט של דברים לבדיקה(לדוגמה- יש ליישם מנגנון סינון של מתנדבים כדי שלא כל אחד יוכל להסתנן לארגון).
בנוסף החוקרים ממליצים להעסיקה מדי זמן מסויים "צוות אדום" (כינוי לקבוצת Penetration Testers – האקרים לבנים) שיבדקו בצורה אקטיבית את ההגנה של הארגון. ההמלצה היא שהצוות האדום יבצע פעולות שונות מרמת ה-Social Engineering ועד רמת Pentest טכנולוגי.
לאחר המחקר הראשוני שנעשה ע"י החוקרים(כתבתי עליו פה: the snooping dragon), התבצע מחקר ארוך יותר כדי להבין בצורה טובה יותר מי תקף ומה מימדי התקיפה.
המחקר ארך 10 חודשים והפעם נעשה בצורה עמוקה ויסודית יותר.
הדוח מחולק לשלושה חלקים:
1. הכרות עם התחום ומידע כללי. כולל האשמות של סין כמרגלת על ארה"ב.
2. הסבר על החקירה עצמה.
3. ניתוח התוצאות.
החוקרים מציינים שהשחקנים העיקריים ב-cyberspace הן לא מדינות אלא האקרים עצמאיים.
הם מציינים שפעילות הסייבר שהתבצעה במלחמה בין רוסיה לגאורגיה וכן בזמן התקפה של ישראל על עזה התבצעה ע"י האקרים ולא ע"י מדינות.
הם מנחשים על סמך העובדה שהתקפת ה-DoS על אסטוניה ב-2007 התבצעה ע"י רוסי שחי באסטוניה וכמו כן שמעולם לא הייתה התקפה של גוף ביון על ארה"ב.
(הערה: לעניות דעתי זו טעות. ההסתמכות על ארה"ב לא נכונה.. פקידים בכירים בממשל בארה"ב מודים שהיו התקפות כאלה וניסיון לאתר אותן הגיע למחשבים בברית המועצות. במקום עובדות, הם לוקחים כדוגמאות את האנאלייזר.).
קוריוז: המדינות המובילות ב-Cyber Espionage: ארה"ב, ישראל ובריטניה.
סיגינט:
בדו"ח מסופר על מקרה בו עובדת לשעבר של Drewla נאסרה כשניסתה לחזור אל ביתה אחרי עבודה של שנתיים ב-Drewla.
כשהיא הכחישה שעבדה שם וטענה שהיא הייתה בדרהמסלה בלימודים גילתה שהחוקר הסיני החזיק בידו תעתיק מלא של צ'אטים שלה במשך השנים.
החוקרים מייחסים את העניין לסיגינט, אני לא בטוח שזה באמת מעיד על משהו.
חלק 1:
תחילת פעילות סין בסייבר – שנת 1991 כחלק ממודרניזציה של הצבא ותוך הבנה שפעילות סייבר יכולה לפגוע קשות בעליונותה של ארה"ב.
נוצרה שם הבנה שפעילות תוקפנית שכזו יכולה לפגוע במטרות צבאיות ואזרחיות.
בשנים האחרונות עלו יותר ויותר האשמות שהאקרים סינים אחראים לפריצות איכותיות למחשבים באירופה, צפון אמריקה ואסיה.
האקרים סינים הואשמו בפעילות וחדירה למחשבים ממשלתיים בארה"ב, בריטניה, צרפת, גרמניה, דרום קוריאה וטאיוון.
האקרים סינים הואשמו בגניבת נתונים ממחשבים במוסדות תעשייתיים ופיננסיים.
משרד ההגנה האמריקאי מדווח שהוא מותקף באופן תדיר ע"י האקרים סינים כאשר ההתקפה הבולטת ביותר נקראה "Titan Rain", בוצעה ב-2003 וכוונה אל מחשבי משרד ההגנה וחברות ביטחוניות נוספות.
יש האשמה נוספת שסין פעילה נגד ארגונים לא צבאיים אך שיש לה בהם עניין (קונפליקט בדרפור, קבוצות טיבטיות בהודו וכ"ו).
רוב ההתקפות מול ארגונים אלה כוללות Defacements, התקפות מניעת שירות (DoS) או יצירת וירוסים מכוונים.
פעילויות אלה מוקצנות ומגברות בזמן משבר.
למרות ההאשמות האלה אין ממש ידע מי מבצע את הפעילות ואין אפשרות להחליט האם זה פעילות של יחידים או של גוף ממשלתי, למרות שההתקפות בהחלט פועלות בהתאם למדיניות ולתחומי העניין הסיניים.
חלק 3+2:
החקירה התחילה כאמור ממחשבי הארגון הטיבטי וממחשבים אלה התוקפים קיבלו מידע מקיף ורגיש.
המחקר נערך מול המחשבים של OHHDL.
המחקר לא מוכיח מי עומד מאחורי המתקפה וכן מה הייתה המטרה שלה.
במהלך המחקר הארוך נמצאו 1295 מחשבים נגועים ב-103 מדינות מתוכם כ-30% נחשבים מקור מידע מעולה וממוקמים במשרדי חוץ, שגרירויות, ארגונים בין לאומיים, מקורות עיתונאים וכ"ו.
במחקר הזה – החוקרים מכנים את הרשת בשם GhostNet והמחקר נערך מיוני 2008 ועד מרץ 2009 והתחיל בשלב הראשון בטיבט, לונדון, בריסל וניו יורק – בתוך המשרדים של הדלאי לאמה.
בשלב זה נאסף חומר החקירה כולל הסנפות של הרשתות.
בשלב השני של המחקר נערך ניתוח של הנתונים שנאספו והחוקרים מצאו קישור אל 4 שרתים ב- WEB. שרתים אלה שימשו את התוקפים להתקנת הסוס.
נמצאו גם 6 שרתים נוספים - שרתי פיקודים שאליהם התחבר הסוס כדי לקבל פקודות.
השרתים קונפגו לעבוד עם שירותי DNS דינאמיים.
בבדיקת שרתים אלה התגלה היקף הרשת (שכאמור כוללת 1295 מחשבים).
30% מהמחשבים הנגועים נחשבים בעלי ערך ונמצאים ב:
ministries of foreign affairs of Iran, Bangladesh, Latvia, Indonesia, Philippines, Brunei, Barbados and Bhutan;
embassies of India, South Korea, Indonesia, Romania, Cyprus, Malta, Thailand, Taiwan, Portugal, Germany and Pakistan;
the ASEAN (Association of Southeast Asian Nations) Secretariat, SAARC (South Asian Association for Regional Cooperation), and the Asian Development Bank;
News organizations
and an unclassified computer located at NATO headquarters.
GhostNet מורה למחשב נגוע להוריד טרויאן ידוע בשם Gh0st RAT – סוס אמיתי שמאפשר יכולות real-time.
Gh0st RAT נמכר באינטרנט והמקורות שלו בסין (במקור הוא OPEN SOURCE, כיום נמכר כשהוא מוכן לעבודה ע"י גופים פחות מקצועיים. כדי שאנטי וירוסים לא יזהו אותו המוכרים מבצעים שינויים שמות של משתנים, שינוי שמות פונקציות ועוד פעולות בסיסיות שמשנות את החתימה שלו).
מה הוא יודע לעשות?
- העברת קבצים
- לכידת מסך
- KEYLOGGER
- Remote shell
- Webcam view
- Audio capture
- הפעלת תוכנות
- Install software as system
ההתפשטות:
1. בעזרת אתר אינטרנט המכיל אקספלויט שמדביק את המחשבים שביקרו בו.
2. בעזרת מיילים רלוונטיים ליעד. המייל מכיל Attachment שמכיל אקספלויט של PDF ו-DOC כשה-Payload הוא BackDoor שמתחבר ל-control server וממתין להוראות. לאחר ההדבקה התוקף מורה למחשב הנתקף להוריד טרויאן.
קרדיט ל- guym.co.il
מקווה שעזרתי והבנתם
ציטוט ההודעה
