עוד יום, עוד קבוצת תקיפות סייבר חדשה
קבוצת Worok, שאותה חשפו חוקרי ESET, מתמקדת במטרות בעלות פרופיל גבוה מתחומי האנרגיה, הממשל והבנקאות - במזרח התיכון, באסיה ובאפריקה
אחרי שאתמול (ד') דיווחנו על קבוצת ריגול סייבר חדשה בשם JuiceLedger, שפועלת נגד מפתחי קוד פתוח, היום הגיעה "תורה" של Worok. הקבוצה הזאת, שאותה חשפו חוקרי ענקית אבטחת המידע ESET, מכוונת את ה-"נשק" שלה כלפי חברות וממשלות במזרח התיכון, באפריקה ובאסיה.
חוקרי ESET גילו באחרונה מתקפות ממוקדות, שניצלו כלים לא מתועדים, שבהם הן השתמשו נגד חברות בפרופיל גבוה וממשלות מקומיות – בעיקר באסיה, אך גם במזרח התיכון ובאפריקה. לא נמסר האם בין מטרות התקיפה היו גם גופים ישראליים. המתקפות הללו בוצעו על ידי קבוצת ריגול סייבר לא מוכרת, והחוקרים הם אלה שהעניקו לה את השם Worok.
על פי נתוני הטלמטריה של ESET, קבוצת הסייבר פועלת לפחות החל מ-2020, וממשיכה לפעול עד היום. בין המטרות שבהן היא התמקדה היו חברות מתחומי התקשורת, הבנקאות, הימאות והאנרגיה, וכן משרדי ממשלה וגופים מהסקטור הציבורי. בחלק מהמקרים, הקבוצה השתמשה בפרצות ProxyShell הידועות לשמצה, כדי לקבל גישה ראשונית.
Worok היא קבוצת ריגול סייבר שמפתחת כלים משל עצמה ומשתמשת בכלים קיימים כדי לפרוץ למטרותיה. ארגז הכלים המיוחד של הקבוצה כולל שתי תוכנות טעינה ודלת אחורית שנקראת PowHeartBeat. זו דלת אחורית מרובת אפשרויות, שנכתבה ב-PowerShell ומוסווית באמצעות טכניקות שונות כמו כיווץ, קידוד והצפנה. PowHeartBeat היא בעלת יכולות מגוונות, ביניהן שליטה או הרצת תהליכים והורדה והעלאה של קבצים. כך, היא מסוגלת להעלות קבצים למחשבים שנפרצו ולהוריד מהם קבצים; לשלוח מידע על קובץ, כמו הנתיב שלו, אורכו, מועד היצירה שלו, הזמנים שבהם ניגשו אליו ותוכנו – אל שרת השליטה והבקרה; ולמחוק קבצים, כמו גם לשנות את שמם ואת מיקומם.
"מיקוד משמעותי במטרות ממשלתיות"
טיבו פאסיי, חוקר ESET שגילה את הקבוצה, אמר כי "אנחנו מאמינים שמפעילי הנוזקה מחפשים מידע אצל הקורבנות שלהם. הגענו למסקנה הזאת בעקבות ההתמקדות שלהם בפרופילים גבוהים באסיה ובאפריקה, שמשתייכים למגזרים שונים – פרטיים וציבוריים כאחד, עם מיקוד משמעותי במטרות ממשלתיות". הוא הוסיף כי "על אף שבשלב זה איננו יכולים לראות חלק ניכר מפעילות הקבוצה, אנחנו מקווים שהפניית הזרקור אליה תעודד חוקרים נוספים לחלוק מידע אודותיה".
בסוף 2020 תקפה קבוצת Worok ממשלות וחברות במדינות רבות, ביניהן חברת תקשורת במזרח אסיה, בנק במרכז אסיה, חברת תעשייה ימית בדרום-מזרח היבשת, ישות ממשלתית במזרח התיכון וכן חברה פרטית בדרום אפריקה. בין מאי 2021 לינואר 2022 הקבוצה הפסיקה את פעולותיה, לפחות אלה שאנשי ESET גילו, ובפברואר השנה היא שבה לפעול.
תגובות
(0)