Harvester APT
פרטים על קבוצת APT (Advanced Persistent Threat) לא ידועה בעבר נחשפו בדו"ח חדש של חוקרי איומים. קבוצת ההאקרים נמצאת במעקב כ-Harvester, ופעולותיה המאיימות שזוהו מורכבות מהתקפות ריגול נגד מטרות בדרום אסיה, בעיקר באפגניסטן. התאגידים הממוקדים נובעים מכמה מגזרי תעשייה שונים, כולל ממשל, טלקומוניקציה ו-IT. ההתמקדות באפגניסטן, במיוחד, מעניינת, בהתחשב באירועים הגדולים האחרונים שהתרחשו בה, כמו ההחלטה של ארה"ב להסיג את צבאה לאחר ששמרה על נוכחות במדינה במשך שני עשורים.
למרות שכרגע אין מספיק נתונים כדי להצביע על מדינת הלאום המדויקת שתומכת בפעילותו של Harvester, ראיות מסוימות כגון התקפות הקבוצה שאינן מונעות כלכלית והשימוש במספר כלים מאיימים שנבנו בהתאמה אישית מצביעות על היותה מדינה תלבושת ממומנת לפשעי סייבר בהחלט.
מאיים על ארסנל
ה- Harvester APT משתמש בשילוב של תוכנות זדוניות מותאמות אישית וכלים זמינים לציבור כדי ליצור דלת אחורית למכונות שנפגעו ואז לשאוב מהם מידע. וקטור התקיפה הראשוני שבאמצעותו התוקפים מבססים דריסת רגל בתוך הארגון הממוקד עדיין לא ידוע. עם זאת, פעילות ההאקרים לאחר מכן הייתה די ברורה.
ראשית, הם פורסים הורדה מותאמת אישית במערכת הפורצת. לאחר מכן, התוכנה הזדונית מספקת את המטען הבא - איום דלת אחורית מותאם אישית בשם Backdoor.Graphon . מטענים נוספים התגלו גם כחלק מהתקפות של Harvester. אלה כוללים צילום מסך מותאם אישית, הכלי Cobalt Strike Beacon, שנוצל לרעה בדרך כלל על ידי פושעי סייבר, ו- Metasploit, מסגרת מודולרית שיכולה לשמש למטרות פולשניות רבות.
פרטי התקיפה
באמצעות השילוב של איומים פרוסים, Harvester יכול לבצע פעולות מזיקות שונות. זה יכול ללכוד תמונות של מסך המערכת שמאוחסנות לאחר מכן בקובץ ZIP מוגן בסיסמה. לאחר מכן, הקובץ מוחלף לתשתית ה-Command-and-Control (C2, C&C) של הפעולה. באמצעות ה-Cobalt Strike Beacon, פושעי הסייבר יכולים לבצע פקודות שרירותיות, לתפעל את מערכת הקבצים, לאסוף קבצים, להתחיל או לסיים תהליכים ועוד.
מצד שני, Metasploit מאפשרת להם להשיג הסלמה של הרשאות, להגדיר מנגנון התמדה לדלת האחורית שלהם, לכידת מסך וכו'. כדי להסתיר את התקשורת בין האיומים הפרוסים לשרתי C2, Harvesters מנסים למזג את התעבורה היוצאת החריגה עם תעבורת רשת רגילה של הארגון שנפגע על ידי מינוף תשתיות CloudFront ו-Microsoft לגיטימיות.
