מעבדת קספרסקי חשפה תקיפות בסייבר נגד מרכז נתונים לאומי באסיה המרכזית

במרץ 2018 זיהו מוצרי מעבדת קספרסקי פעילות של קבוצת LuckyMouse APT, אשר כוונה כנגד מרכז נתונים לאומי באסיה המרכזית, והעמידה משאבי ממשלתיים בסכנה. דרך מרכז הנתונים התוקפים השיגו גישה למספר אתרים רשמיים, אליהם הוזרק JavaScript זדוני לביצוע מתקפת "בורות השקיה". כתוצאה מכך, משתמשים הופנו לאתרים זדוניים.

LuckyMouse הוא שחקן דובר סינית הידוע גם כ- EmissaryPanda או APT27. על פי החוקרים, מדובר בשחקן שהיה פעיל מאוד לאחרונה בהפעלת מתקפות "בורות השקיה", בין היתר באתרים וארגונים ממשלתיים. מאז דצמבר 2017, LuckyMouse מנצל פירצה ב- Microsoft Office Equation Editor (CVE 2017-11882), למרות שפירצה מסוימת זו לא נצפתה במהלך ההתקפה האחרונה. במקום זאת, החוקרים מאמינים כי שחקן האיום השתמש ב"בור השקיה" קודם כדי להדביק עובדים במרכז הנתונים.

חוקרי מעבדת קספרסקי חשפו כי לצורך פעילות זו LuckyMouse פרצו לנתב Mikrotik, שצויד בקושחה מיושנת שעיבדה את בקשות ה- HTTP של הקוד הזדוני. בנוסף, הם גילו כי הטרויאני HyperBro שימש לצורך שליטה מרחוק על שרתים. טרויאני זה גם נצפה בהתקפות אחרות מצד גורמים דוברי סינית. גרסאות של הטרויאני שזוהו בקמפיין זה עברו קומפילציה בדצמבר 2017 וינואר 2018.

"העובדה שגורם האיום בחר מטרה שכזו היא מעניינת מאוד. קודם כל, מרכז הנתונים עצמו הוא מקור למידע רב ערך. שנית, במקרה מסוים זה, הוא גם משמש כמארח של שרתים ממשלתיים, בהם השתמשו התוקפים לצורך ביצוע התקפות נוספות של 'בורות השקיה' כנגד המטרות שלהם", אמר דניס לגזו, חוקר אבטחה בכיר, בצוות המחקר והניתוח הגלובלי (GReAT) של מעבדת קספרסקי.

אולי יעניין אותך גם

המרוויחה הגדולה מהפלת המטוס הרוסי - איראן. האם מדובר בתחבולה תוצרת טהרן? דעה

המסתורין סביב אירוע הפלת מטוס ההתרעה הרוסי בסוריה גדל ככל שעוברות השעות. מדובר באירוע נדיר לאחר תקיפות רבות של חיל האוויר בסוריה בחודשים האחרונים ללא תקריות ועל אף מאמצי התיאום בין ישראל לרוסיה. המרוויחה הגדולה ממנו היא איראן, ועולה השאלה מה מידת מעורבותה באירוע