התגלתה רוגלה חדשה: כמעט בלתי ניתנת להסרה

Control-Alt-Can't Delete: חוקרי קספרסקי (Kaspersky) חשפו קמפיין ריגול חדש בשם MosaicRegressor. לדברי החוקרים, קמפיין הריגול השתמש במתקפת סייבר מתוחכמת כנגד דיפלומטים וחברים בארגונים לא ממשלתיים (NGO) באירופה, אסיה ואפריקה.

מדובר בנוזקה המשמשת ל-APT, מתקפות סייבר עקביות וממוקדות. לדברי מארק לחטיק, חוקר אבטחה בכיר בחטיבת GReAT בקספרסקי ישראל, "מתקפת הסייבר ששימשה לביצוע קמפיין הריגול עשתה שימוש באפיק תקיפה ייחודי, מסוג שלא נצפה בעבר. הוא מבוסס על קוד של קבוצת Hacking Team, שדלף לרשת ב-2015. מדובר בתוכנה זדונית המכונה Firmware Bootkit בגרסה מותאמת אישית".

קספרסקי

באוגוסט 2015 פורסם כי בשל פריצה ולאחריה דליפה של Hacking Team – ספקית קוד זדוני לרשויות אכיפת החוק וממשלות ברחבי העולם – החלו כמה קבוצות ריגול סייבר להשתמש בכלי הפריצה אותם החברה סיפקה ללקוחותיה. גם אז חוקרי קספרסקי הם שגילו את השימוש של ההאקרים בכלי הפריצה של החברה שנפרצה.

מדובר בכמה כלי ניצול פרצות בנגן הפלאש של אדובי (Adobe) ובמערכת ההפעלה חלונות (windows). לפחות אחד מהם זכה ל"ייעוד" מחודש, על ידי צוות ריגול הסייבר Darkhotel. מדובר בצוות עלית לריגול סייבר, אותו חשפו החוקרים ב-2014 בעקבות פריצה לרשתות Wi-Fi במלונות יוקרה בעולם – כדי לפגוע בבכירים מארגונים שונים.

Hacking Team ממילאנו שבאיטליה מציגה את עצמה כמי שמספקת תוכנת ציתות חוקית לגורמי אכיפה וביון, אך פעילים למען זכויות אדם טוענים כי התוכנות של החברה משמשות משטרים טוטליטריים לחדירה לפרטיותם של מתנגדים למשטר. כמה ימים לאחר היוודע דבר הפריצה, פעילי זכויות אדם ניתחו את מסמכי הנפרצת והעלו את הניתוח לאתר ויקיליקס. כך עלה שבין לקוחותיה של הנפרצת יש לא רק מדינות אפלות, כי אם גם הבולשת הפדרלית של ארצות הברית.

בנוסף, לפעילות של החברה הנפרצת היה גם היבט כחול לבן: נייס (Nice) הישראלית הייתה אחת המפיצות של מוצרי Hacking Team. ניתוח ההתכתבויות של החברה הנפרצת, שנעשה על ידי מגיני זכויות אדם, העלה כי לצד פעילות עסקית לגיטימית בארצות הברית, אוסטרליה, ומדינות מערביות נוספות, היא פעלה במדינות עליהן נמתחה ביקורת בשל הפרת זכויות אדם, כגון לוב, מצרים, אתיופיה, קזחסטן, מרוקו, ניגריה, ערב הסעודית וסודאן. זאת ועוד, Hacking Team דורגה במקום החמישי בדירוג "האויבים העסקיים של האינטרנט במגזר הפרטי" – דו"ח שנעשה על ידי ארגון עיתונאים ללא גבולות ב-2012.

הרוגלה – ברכיב UEFI

רכיב UEFI בו נצפתה הרוגלה, הינו רכיב בסיסי וקריטי בכל מחשב, המופעל עוד לפני עליית מערכת ההפעלה והתוכנות המותקנות. הוא תומך באבחון תקלות מרוחק ואף בתיקון בעיות במחשב. כשנוזקה פוגעת ברכיב זה, הקוד של התוקף יעלה לפני מערכת ההפעלה וכך יהפוך לכמעט בלתי ניתן לגילוי על ידי מערכות אבטחת מידע והגנת סייבר שונות. בנוסף, כיוון שמיקום התוכנה אינו על הדיסק הקשיח של המחשב, גם אם מערכת ההפעלה תוסר ותותקן מחדש – הנוזקה לא תימחק.

לדברי לחטיק, "למרות שתקיפת UEFI מציגה הזדמנויות תקיפה רחבות, זהו המקרה הראשון שנחשף ובו ביצע התוקף שימוש באפיק זה בגרסה מותאמת אישית. תקיפה זו מוכיחה כי במקרים יוצאי דופן תוקפים המבצעים תקיפות ממוקדמות (APT) מוכנים להשקיע מאמצים ניכרים על מנת להגיע לרמות גבוהות ביותר של תחכום לצורך תקיפת הקורבן. האקרים ממשיכים להרחיב את סל הכלים שלהם והופכים יותר ויותר יצירתיים במתקפותיהם".

על פי חוקרי קספרסקי, קמפיין MosaicRegressor הכיל מסמכים בשפה הרוסית, שכללו בחלקם גם עדויות הקשורות לצפון קוריאה, ונועדו לפתות את הקורבנות להורדת התוכנה. בקספרסקי לא קישרו בין קמפיין הריגול לקבוצות תקיפה (APT) מוכרות.