נוזקה – עמוד 3

njRAT – נוזקה לפשיעה מקוונת במזרח התיכון

5 אפריל 2014/ב הנדסה חברתית, נוזקה, פשיעה קיברנטית /על ידי Tal Pavel

חברת האבטחה סימנטק דיווחה ב-31 מרץ כי היא הבחינה בגידול בקבוצות תוקפים מקומיות במזרח התיכון המבססות פעילותן על נוזקה הידועה בשם njRAT המהווה אחד מהכלים המאפשרים גישה מרוחקת (RAT). אולם יחודו של כלי זה בכך שהוא פותח ונתמך על ידי דוברי ערבית (גרסה 0.64 של התוכנה הועלתה באתר אחד ב-24 ספטמבר 2013 ובשני ב-17 אוקטובר 2013). ביוטיוב קיימים סרטונים רבים בשפה הערבית המסבירים את השימוש בנוזקה זו (1, 2, 3, 4, 5).

במרבית המקרים נעשה שימוש בתוכנה על מנת לשלוט ברשתות מחשבים לצרכים של פעילות פלילית, אולם לטענת סימנטק, קיימות עדויות לכך שמספר קבוצות עשו שימוש בנוזקה נגד ממשלות באזור.

החברה בחנה 721 דוגמאות של נוזקה זו וגילתה מספר רב של ההדבקות. זאת ב-542 שרתי פיקוד ושליטה (C&C) של שמות מתחם, כמו גם ב-24,000 מחשבים נגועים ברחבי העולם. כ-80% משרתי ה-C&C ממוקמים במזרח התיכון ובצפון אפריקה ובכלל זה; ערב הסעודית, עראק, תוניסיה, מצרים, אלג'יריה, מרוקו, הרשות הפלסטינית ולוב.

התגלה כי מרבית כתובות ה-IP של שרתים אלו מובילות לקווי ADSL, דבר המציין שיתכן ומרבית התוקפים עושים שימוש בנוזקה מבתיהם באזור המזרח התיכון. הדוח טוען כי הנוזקה זמינה משנת 2012 וכי קיימות לה שלוש גרסאות אשר את כולן ניתן להפיץ באמצעות התקני USB. עם זאת, מחקר שבוצע על תוכנה זו בתחילת דצמבר 2013 גורס כי קיימות לפחות ארבע גרסאות – 0.3.6, 0.4.1a, 0.5.0E, 0.6.4. פרסום זה מהווה המשך למחקר מעמיק על אודות הנוזקה אשר פרסמה חברת General Dynamics Fidelis Cybersecurity Solutions ב-28 יוני 2013.

מחקר זה מרחיב עוד על התוכנה;

זוהי נוזקה מסוג סוס טרויאני אשר פותחה ב-VB.net.
שם הקובץ Authorization.exe והוא נשלח בתוך קובץ scr.
התוכנה כוללת אפשרויות של Keylogger, גישה למצלמה, גניבת פרטי גישה המאוחסנים בדפדפן, העלאה והורדה של קבצים, צפיה בשולחן העבודה, ביצוע שינויים שונים במחשב הקורבן.
כתובת ה-IP בה נעשה שימוש בנוזקה (217.66.231.245) מצויה בטווח המשוייך ל-Palestinian Internet Services הממוקמת בעזה.
התוקפים מסווים את הנוזקה באמצעות שימוש בצלמיות שונות עבור הנוזקה, במקרים מסויימים באלו של MS Word ו-PDF.
הנוזקה תקפה גורמי ממשל, תקשורת ואנרגיה ברחבי המזרח התיכון.
הנוזקה מופצת באמצעות פעולות של דיוג, אך גם על גבי התקני USB נגועים.
הנוזקה מכווצת ומוסתרת באמצעות מספר כלים על מנת למנוע את גילויה על ידי תוכנות אבטחה.
משעה שהודבק מחשב המטרה, ביכולת הנוזקה לסרוק אחר מחשבים אחרים באותה הרשת ולמצוא פרצות, בין השאר באמצעות פרטי גישה אותם השיגה במחשב הקורבן.

סימנטק ממשיכה ומגלה כי התוכנה זוכה לפופולריות רבה במזרח התיכון באמצעות קהילה גדולה המספקת תמיכה באמצעות הנחיות ומדריכים לפיתוח התוכנה. כמו כן, היא זיהתה 487 קבוצות אשר ביצעו התקפות באמצעות כלי זה.

לטענת החברה, התוכנה נכתבה על ידי תושב כווית בעל חשבון טוויטר njq8 אשר נפתח ככל הנראה בתחילת מאי 2013. בחשבון ניתן למצוא מידע על תיקונים בגרסאות השונות, כמו גם הודעה מ-11 דצמבר 2013 בדבר שחרור גרסה 0.7d. באחת מהודעותיו הוא חתם תחת השם "נאסר אלמטירי" (ناصر المطيري). בנוסף, בפורומים שונים בשפה הערבית מוזכר שמו בהקשר של תוכנה זו.

תולעת כרייה ב"אינטרנט של דברים"

4 אפריל 2014/ב ביטקוין, נוזקה /על ידי ניר תורג'מן

אינטרנט של דברים (Internet of Things) מתייחס למוצרים שונים מחיי היום יום אשר מתחברים לרשת האינטרנט. החל משעון חכם ועד לטלויזיה, מקרר או רכב.

סימנטק פרסמה על אודות נוזקה חדשה בשם Linux.Darlloz אשר תוקפת מחשבים מבוססי מעבדי ARM, MIPS במקביל למעבדי Intel הפופולריים במחשבים הניידים והשולחניים. מעבדי ARM נפוצים במכשירים שונים דוגמת טלפונים חכמים, טאבלטים, Android TV וכדומה. על פי הדיווח, הנוזקה נמצאה על כ-31 אלף מכשירים.

הנוזקה מנצלת את משאבי המכשיר לצורך כריית מטבעות וירטואלים מסוג Mincoins ו-Dogecoins. ההערכה כי הנוזקה אינה מיועדת למטבע הנפוץ, ביטקויין, נובעת מכך שתהליך הכרייה של שני המטבעות הראשונים עדיין אינו מתקדם ודורש משאבים נרחבים, היות ומדובר במטבעות חדשים.

טענה של האקרים תוניסאים לפגיעה במחשבים ישראלים

26 מרץ 2014/ב Tunisian Hackers Team, ישראל, נוזקה /על ידי Tal Pavel

ב-24 מרץ פורסמו שתי הודעות בחשבון הטוויטר של ההאקרים התוניסאים XhàckerTN, שתיהן חסרות קישורים או הוכחות כלשהן לאימות הטענה.

האחת טוענת כי 4,890 מחשבים ישראלים הודבקו על ידי הקבוצה בסוס טרויאני;

והאחרת טוענת להדלפת 101 בסיסי נתונים של אתרים בעלי סיומת il.;

כמו כן פורסמה הפניה לעמוד הפייסבוק של קבוצה זו המוקדש להתקפה הקיברנטית המתוכננת נגד ישראל ב-7 אפריל.

בממוצע כל שניה וחצי מתבצעת התקפה קיברנטית על חברה

1 מרץ 2014/ב נוזקה, עסקים /על ידי Tal Pavel

בכתבה שהתפרסמה ב-28 בפברואר עולה כי על סמך מחקר חדש של חברת FireEye, כל שניה וחצי מתבצעת התקפה קיברנטית על חברה כלשהי, נתון המהווה גידול של 100% בהשוואה לשנה החולפת. לצד גידול במספר המדינות בהן התגלו נוזקות 206 בזנת 2013 לעומת 184 שנה קודם לכן. מקורן של ההתקפות הן ארה"ב, גרמניה, דרום קוריאה, סין, הולנד, בריטניה ורוסיה.

מנגד, עשרת המדינות אשר היו המטרות העיקריות להתקפות APT בשנת 2013 הוא ארה"ב, דרום קוריאה, קנדה, יפן, בריטניה, גרמניה, שוויץ, טיוואן, ערב הסעודית וישראל.

עדכון מזויף של Adobe נועד לפגוע במשתמשים תורכיים

31 ינואר 2014/ב נוזקה, תורכיה /על ידי Tal Pavel

חברת Trend Micro דיווחה ב-27 בינואר על התקפה מקוונת חדשה המכוונת ככל הנראה כלפי משתמשי אינטרנט תורכיים ואשר מסווה עצמה כעדכון של Adobe Flash. תחילתה בקישור לסרטון וידאו הנשלח בתורכית למשתמשי פייסבוק באמצעות תוכנת המסרים המיידים שלה. בהמשך מתבקש המשתמש לעדכן לכאורה את את תוכנת ה-Flash שברשותו בקובץ אשר זוהה כ-TROJ_BLOCKER.J.

עם הפעלתו ה"עדכון" מתקין תוסף לדפדפן כרום בלבד החוסם גישה לאתרי אנטיוירוס שונים, כמו גם מונע מהמשתמש את האפשרות מלהסיר תוסף זה. בנוסף, הנוזקה מפיצה עצמה באמצעות משלוח סרטון זה לחבריו של הקורבן באמצעות אותה תוכנת מסרים מידיים. הדיווח מציין כי 93% מאלו שנכנסו לעמוד זה אכן היו מתורכיה.

בתורכיה שיעור חדירת האינטרנט עמד ביוני 2012 על 45.7% ושיעור חדירת הפייסבוק בה עומד כיום על 48.8%, זאת תוך ירידה של 10% בחצי השנה האחרונה, שיעור הירידה הגדול ביותר מבין מדינות העולם.

הפצת מייל החשוד כנגוע בנוזקה

26 מאי 2013/ב ישראל, נוזקה /על ידי Tal Pavel

בשעה 23:28 בתאריך ה-26 במאי התקבל מייל אשר נושא את הכותרת "תמונות: אנג'לינה ג'ולי בלי שדיים". כדי לשוות למייל מראה אמין, הוא הגיע לכאורה מאת Israel National News ומהכתובת Israel.innnews@gmail.com;

להודעה צורף קובץ מכווץ החשוד כנגוע בנוזקה.

אין זו הפעם הראשונה שמיילים הכוללים קבצים נגועים מגיעים למשתמשי אינטרנט בישראל; ב-7 במרץ, ב-11 במרץ, ב-24 במרץ, ב-31 במרץ וב-6 באפריל הופצו מיילים במתכונת דומה אשר הגיעו לכאורה מצה"ל.

הודעת מייל נוספת בכסות צה"לית מזוייפת

6 אפריל 2013/ב ישראל, נוזקה /על ידי Tal Pavel

בשעות אחר הצהריים של ה-6 באפריל התקבלה הודעת מייל נוספת בכסות צה"לית מזוייפת. הודעה זו נושאת את השם IDF Blocks ונשלחה מהתיבה blocks.idf@gmail.com, כתובת ממנה נשלחה בעבר הקרוב הודעה מזוייפת נוספת. כתובת שניה בה נעשה שימוש בעבר היא idf.jets@gmail.com.

כבעבר, כך גם הפעם ניצלו מפיצי המייל ארוע תקשורתי במוקד ההתעניינות לשם הפצת מייל מזוייף אליו מצורף קובץ נגוע. בעבר היה זה קובץ בו יכלו המשתמשים לבדוק לכאורה האם שמם מצוי ברשימת "35 אלף סוכני המוסד". הפעם ניצלו אלו את החשש מההתקפה המקוונת של גורמי "אנונימוס" הצפויה בטווח הזמן המיידי.

קובץ נגוע במייל המתחזה להיות צה"לי

7 מרץ 2013/ב בטחון, ישראל, נוזקה /על ידי Tal Pavel

בתאריך 6 מרץ נשלח מייל אשר נחזה להיות מאת גורם צה"לי ובו כתובת השולח היא idf.jets@gmail.com.

המייל נושא את הכותרת "jest: Israel warns soldiers of abduction" וכלל צרופה מסוג RAR הנושאת את השם – "Israel warns soldiers of abduction".

המייל לא כלל כל מסר והיה חתום על ידי "IDF Online" תוך הצבת קישור לעמוד הפייסבוק הרשמי של צה"ל (http://www.facebook.com/idfonline)

תוך מספר דקות הגיעה הודעה אוטומטית מטעם גוגל כי ככל הנראה מדובר בקובץ הטומן בחובו נוזקה.

בדיקה כללית העלתה כי הצרופה כוללת סרטון ובו נוזקה (המצויה בתוך קובץ בעל סיומת scr – שומר מסך), אשר יש ביכולתה לפגוע בקובץ smslisto.exe שבמערכת הפעלה Windows 8.

אין זו הפעם הראשונה שנוזקות מופצות בישראל באמצעות מיילים הנחזים להיות מטעם גורמי בטחון;

לפני כחצי שנה התרחש ארוע דומה בו נשלח מייל (גם במקרה זה מאת כתובת Gmail) לכאורה מאת הרמטכ"ל רא"ל בני גנץ ובמסגרתו דווח על פגיעה גם במחשבי משטרת ישראל.

On March 6, Israeli email users received a email message appearing to originate from the IDF, sent from the address idf.jets@gmail.com.

The subject line was "jest: Israel warns soldiers of abduction". The email contained no message but an attached RAR-type file named "Israel warns soldiers of abduction", with the text "IDF Online" alongside with a link to the IDF official Facebook page ((http://www.facebook.com/idfonline).

Minutes later, the email was followed up by an automatic Google notification, warning recipients of a potentially suspicious attachment to the previous one.

A quick examination of the attached file found the zipped file to contain a short video clip infected with a malware be harmful to Windows 8 system file "smslisto.exe".

This is not the first attempt to introduce malwares using fake IDF email messages and addresses.In late October 2012, emails with similar characteristics were sent to recipients in Israel. The messages were sent from a Gmail address supposedly belonging to Benny Gatz, IDF Chief of Staff, with the subject "IDF strikes militants in Gaza Strip following rocket barrage". Those too were found to contain an infected RAR file, named "Report & Photos".

The same method was used two weeks later in emails from a Gmail address (probably an authenticated and activated one) of IDF spokesperson (Idfspox@gmail.com). Here too, the infected attached file was of RAR-type and named "Report".

האם נוזקה חדשה תוקפת את איראן ?

25 נובמבר 2012/ב איראן, נוזקה /על ידי Tal Pavel

בתאריך 15 נובמבר אותרה על ידי חברת Symantec נוזקה חדשה אשר יתכן ויעדה הוא איראן.

נוזקה זו קרויה Narilam ובדוח שהוכן על ידי חברת Symantec היא מתוארת כתולעת המעתיקה עצמה לכל הכוננים במחשב היעד כמו גם למספר תיקיות משותפות. ניתוח זה מתייחס לתולעת כממוקדת ביותר;

Threat Assessment

Wild

Wild Level: Low
Number of Infections: 0 – 49
Number of Sites: 0 – 2
Geographical Distribution: Low
Threat Containment: Easy
Removal: Easy

Damage

Damage Level: Low

Distribution

Distribution Level: Medium
Shared Drives: Attempts to spread through shared folders.
Target of Infection: Spreads through removable drives.

דוח מורחב יותר של חברה זו מתייחס לתולעת כאל "Business Database Sabotage". אכן, ייחודה של זו בכך שהיא תוקפת ככל הנראה בסיסי נתונים מבוססי MS SQL.

הדוח מציין כי מניתוח הקוד, אשר כבמקרים קודמים נכתב אף הוא בשפת Delphi, עולה כי אין בכוונת הנוזקה לגנוב נתונים מבסיס הנתונים של מחשב המטרה, אלא כל מטרתה היא להזיק לנתונים השמורים בבסיס הנתונים הנגוע. עוד עולה כי ככל הנראה מטרת הנוזקה בסיסי נתונים העוסקים בהזמנות, הנהלת חשבונות, ניהול לקוחות וכאלו השייכים לתאגידים וכי המשתמשים שהושפעו ממנה הם אלו הארגוניים. כמו גם בשל סוג בסיס הנתונים אשר על פי רוב לא נמצא ברשות המשתמש הביתי.

עוד מוסיף דוח כי זה במידה ולא קיימים מערכי גיבוי מתאימים, יהיה קושי לשחזר את בסיס הנתונים הנגוע וכי הארגון שנפגע יסבול מהפרעות ממשיות ואף מנזקים כלכליים בעת שחזור בסיס הנתונים, פעולה אשר לטענת הדוח יכולה להמשך זמן רב בשל אופיה של הנוזקה.

ממפה אשר כלולה בדוח ניתן ללמוד כי מרבית פגיעותיה של נוזקה זו היו באיראן;

עודכן ב-21:11 בתאריך 27112012

סקירה של Tremd Micro אודות נוזקה זו.

המשך המלחמה הפסיכולוגית בדוא"ל – השולח פאג'ר 5 הוטמייל

18 נובמבר 2012/ב ישראל, לוחמה פסיכולוגית מקוונת, מבצע עמוד ענן, נוזקה /על ידי Miki Schauder

המשך המלחמה הפסיכולוגית בדוא"ל

חברה העבירה לי מייל שקיבלה מגדודי אל קודס – השולח פאג'ר 5 הוטמייל

כנראה הם לא למדו עברית והשתמשו בבניג לתרגום במקום בגוגגל

מצחיק לקרוא ………..

מה שעצוב שכנראה רשימת התפוצה לספאם – הגיעה מהאתרים שנפרצו ….

נוזקה חדשה המופצת ברגעים אלה ממש

17 נובמבר 2012/ב ישראל, מבצע עמוד ענן, נוזקה /על ידי Tal Pavel

ברגעים אלה מופצת נוזקה חדשה המהווה חלק ממסך Word הדחוס כקובץ rar.

את פרטיה קיבלתי מרם לוי. את הנוזקה עצמה, במייל ממקור אחר …

Shamoon the Wiper – נוזקה חדשה ?

16 אוגוסט 2012/ב נוזקה /על ידי Tal Pavel

היום, ה-16 פורסם מחקר חדש של חברת קספרסקי בדבר נוזקה אפשרית חדשה המכונה לעת עתה – Shamoon the Wiper.

המחקר גורס כי סביר להניח שלא מדובר בנוזקה Wiper אשר תקפה את תעשיית הנפט האיראנית ואשר היתה הבסיס לגילוי ה-Flame, אלא בפעילות אשר נעשתה בהשראת ה-Wiper.

השיוך המזרח תיכוני של נוזקה זו הוא לעת עתה בשמה בלבד – Shamoon – אשר מקורו בנתיב של אחד המודולים – C:ShamoonArabianGulfwiperreleasewiper.pdb, כמו גם ההתייחסות ל"מפרץ הערבי".

לעת עתה לא נמסר על תפוצתה של נוזקה זו לא מבחינה גאוגרפית ולא מגזרים אשר נפגעו ממנה.

חברת סינמטק הוציאה בתחילה הודעה קצרה בנושא המתייחסת לנוזקה הנקראת על ידה – W32.Disttrack. בהמשך הערב פורסמה בבלוג הרשמי של החברה סקירה מקיפה יותר ובה שני מאפיינים ראשונים של הנוזקה;

נעשה בה שימוש בהתקפות ממוקדות נגד לפחות ארגון אחד מתעשיית האנרגיה.
מדובר בנוזקה הרסנית המשחיתה קבצים במחשב המטרה וזאת במטרה להפוך את המחשב לבלתי שמיש.

המחקר מגלה עוד כי הנוזקה מורכבת משלושה חלקים;

Dropper – הרכיב המרכזי והמקור להדבקה המקורית.
Wiper – אחראי לפעולת ההרס של מחשב המטרה.
Reporter – מודול האחראי על דיווח המידע אודות ההדבקה חזרה לגורם התוקף.

הסקירה של סימנטק נחתמת בקביעה כי איומים ובהם מטען הרסני שכזה הם יוצאי דופן ואינם אופייניים להתקפות ממוקדות.

עם זאת, מתעודת הזהות שיצרה חברת סימנטק לנוזקה זו, ניתן ללמוד כי רמת הסיכון שלה מוגדרת כ"נמוכה ביותר", כמו גם רמת התפוצה הגאוגרפית והנזק. יכולת ההכלה וההסרה של הנוזקה מתוארים כ"קלים" ומספר ההדבקות מוגדרות כ-0-49 ב-0-2 אתרים.

דיווחים נוספים התייחסו, תוך הסתייגות, לאפשרות כי הדיווח של חברת קספרסקי בדבר פגיעה ממוקדת של נוזקה זו בתעשית האנרגיה, קשור בדיווח אחר לפיו חברת הנפט הסעודית ARAMCO השביתה חלק ממערך מחשביה ביום רביעי האחרון וניתקה את הגישה החיצונית לכלל מערכות המחשב, זאת בשל וירוס אשר לטענתה לא פגע במלאכת הפקת הנפט.