נא להכיר: ה-"עקרבים" שמעסיקים את עולם הפינטק

עקרבים הם בין החיות הארסיות בעולם, ובן אדם שמקבל עקיצה אחת מאחד מהם יכול למות. כך גם העקרבים מסוג DeathStalkers – "מטרידני המוות". הארס שלהם אמנם לא יהרוג בדרך כלל בן אדם מבוגר, אבל כשזה מגיע לילדים, הוא יכול להיות קטלני. קבוצת האקרים שקוראת לעצמה בשם זה תוקפת חברות בתחומים שונים, ובעיקר מהמגזר הפיננסי, מאז 2012. דו"ח שהוציאה קספרסקי השבוע מפרט את דרכי פעולתה.

הקבוצה מבצעת תקיפות ריגול ממוקדות וממושכות (APT) וחוקרי ענקית האבטחה גילו שחבריה לא מתקדים במדינה אחת או באזור אחד, אלא מכוונים לחברות בכל העולם, לרבות בישראל. הקורבנות שלה הם בדרך כלל לא ארגוני אנטרפרייז אלא חברות קטנות ובינוניות, וזאת עוד סיבה מדוע טכנולוגיות אבטחה חשובות גם למגזר זה.

על פי רוב, קבוצות APT שממומנות על ידי מדינות הן אלה שנמצאות באור הזרקורים, אבל יש קבוצות APT אחרות, פרטיות, שמשמשות כשכירי חרב לביצוע מתקפות, ו-DeathStalkers היא אחת מהן. גם אותן קבוצות מהוות איום סייבר משמעותי על חברות, ומוציאות לפועל מתקפות כופר וחדירה לצורך ריגול מסחרי. כמעט מיותר לציין שהתוצאות של מתקפות אלה הן פגיעה משמעותית בפעילות המסחרית ובהמשכיות העסקית של החברות, וכן פגיעה במוניטין שלהן.

האקרים שמשתמשים בשלוש נוזקות מוכרות

Deathstalker, שקספרסקי עוקבת אחריה מזה כשנתיים, עוסקת בעיקר בריגול סייבר נגד חברות בתחומי הפיננסים והפינטק, כמו גם משרדי עורכי דין. החוקרים מצאו כי היא מחוברת לשלוש קבוצות נוזקה מוכרות: Powersing, Evilnum ו-Janicab.

הנוזקות המגוונות הללו מעידות על הפעילות הענפה של DeathStalker, שלא שינתה את הטקטיקות, הטכניקות והתהליכים שבאמצעותם היא פועלת מאז שנוסדה ב-2012. ההאקרים שלה מבצעים פישינג ממוקד, שנתפר בהתאם לדרישת הלקוח שהזמין את התקיפה, על מנת להחדיר קבצים המכילים את הנוזקות. לאחר הפעלת הנוזקה, היא מריצה סקריפט זדוני שמוריד רכיבים נוספים למחשבו של קורבן התקיפה, ובכך מעניק לקבוצת ההאקרים שליטה על המחשב שלו.

עוד קבוצה שמבצעת מתקפות APT. מקור: BigStock

נוזקת Powersing – כאמור, אחת הנוזקות החביבות על ההאקרים "מטרידני המוות" – מבוססת על שירות ציבורי מוכר, שמסווה את התקשורת הזדונית מהדלת האחורית של המחשב ומציג אותה כתעבורת רשת לגיטימית. מסיבה זו מתקשה קורבן התקיפה לזהות את החדירה. השימוש ב- Powersing איפשר לחוקרים לזהות את פעילות קבוצת DeathStalker ברחבי העולם ואת נוכחותה המשמעותית בשוק. בין המדינות שבהן זוהו מתקפות המקושרות לנוזקת Powersing וששויכו לקבוצה זו ניתן למצוא את סין, בריטניה, ארגנטינה, שווייץ, קפריסין, הודו, רוסיה – וישראל.

בקספרסקי אומרים שקבוצת DeathStalker היא דוגמה בולטת לשחקן APT שארגונים בשוק הפרטי נדרשים להגן על עצמם מפניו. פעילות הקבוצה מדגישה את החשיבות של נקיטת גישה של חסינות והגנה בסייבר. ענקית האבטחה צופה ש-DeathStalker תמשיך להוות איום משמעותי עם כלים חדשים ומתקדמים.