fbpx

חברת SafeBreach איתרה שיטה לגניבת מידע רגיש מקורבנות סייבר, מבלי להיתפס

חברת SafeBreach, המפתחת פלטפורמה המאפשרת ללקוחותיה לשפר את מוכנות לתקיפות באמצעות סימולציות של תקיפה וחדירות סייבר לארגונים, איתרו שיטה ייחודית המאפשרת לפושעים באונליין לבצע את "הפשע המושלם", מבלי הסיכוי להיתפס ותוך השגת רווח מקסימלי. מדובר במציאות חדשה בעולם אבטחת הסייבר.

חוקרי החברה איתרו שיטה המאפשרת לפושעים לאסוף כמויות עצומות של נתוני משתמש גנובים על ידי ביצוע חיפושים ב-VirusTotal, השירות המקוון של Google, המשמש לניתוח קבצים וכתובות URL חשודות.

מצוידים ברישיון VirusTotal בעלות 600 אירו, צוות המחקר של SafeBreach אסף יותר ממיליון נתונים אישיים באמצעות טכניקה זו. המטרה הייתה לזהות את הנתונים שפושע יכול לאסוף עם רישיון ל-VirusTotal, שבבעלות Google ומספקת שירות חינמי שניתן להשתמש בו כדי להעלות ולבדוק קבצים וקישורים חשודים, באמצעות מספר מנועי אנטי-וירוס.

משתמש מורשה ב-VirusTotal יכול לבצע שאילתות למערך הנתונים של השירות עם שילוב של שאילתות עבור סוג קובץ, שם קובץ, נתונים שנשלחו, מדינה ותוכן קובץ. צוות SafeBreach יצר את הרעיון של "VirusTotal hacking" המבוסס על שיטת "הפריצה של גוגל", בה משתמשים פושעים בכדי לחפש אתרים פגיעים, מכשירים מבוססי אינטרנט של הדברים ודליפות של נתונים רגישים.

גונבי מידע רבים אוספים נתונים אישיים מפורומים שונים, חשבונות דואר, דפדפנים ומקורות אחרים, וכותבים אותם לשם קובץ מקודד קבוע – למשל, "all_credentials.txt" – ואז מוציאים את הקובץ הזה מהמכשיר של הקורבן אל השרתים שלהם. בשיטה זו, החוקרים לקחו כלים וממשקי API של VirusTotal כגון חיפוש, VirusTotal Graph ו-Retrohunt, והשתמשו בהם כדי למצוא קבצים המכילים נתונים גנובים.

החוקרים ערכו את המחקר שלהם באמצעות תוכנות זדוניות ידועות, ביניהן: ,RedLine Stealer Azorult, Raccoon Stealer, וה- Hawkeye וכן פורומים ידועים כמו DrDark ו- Snatch_Cloud כדי לגנוב נתונים רגישים. הם מצאו שהשיטה שלהם עובדת בקנה מידה משמעותי.

RedLine Stealer הוא סוג של תוכנה זדונית הנמכרת בפורומים מחתרתיים באמצעות רכישה עצמאית או מנוי. הוא משתמש בדפדפנים כדי לאסוף נתונים כגון אישורים שמורים, נתוני השלמה אוטומטית ופרטי כרטיס אשראי. כאשר הוא פועל על מחשב יעד, התוכנה הזדונית תופסת את מלאי מערכת הכולל מידע כגון שם משתמש, נתוני מיקום, תצורת חומרה ופרטים של תוכנת אבטחה.
תחילה, החוקרים השתמשו בשאילתה של,VirusTotal  בכדי לחפש קבצים בינאריים שזוהו על ידי לפחות מנוע אנטי-וירוס אחד בתור RedLine – מה שהחזיר 800 תוצאות. הם גם חיפשו קבצים בשם DomainDetects.txt, שהוא אחד משמות הקבצים שהתוכנה הזדונית מחלצת. זה החזיר להם מאות קבצים שחולקו.

לאחר מכן הם פנו ל-VirusTotal Graph, המאפשרת למשתמשים מורשים של VirusTotal לחקור חזותית את מערך הנתונים. שם, החוקרים מצאו שקובץ מתוצאות החיפוש שלהם נכלל גם בקובץ RAR המכיל נתונים מחולקים השייכים ל-500 קורבנות – כולל 22,715 סיסמאות לאתרים רבים ושונים. תוצאות נוספות כללו קבצים גדולים עוד יותר, המכילים יותר סיסמאות. חלקם היו עבור כתובות אתרים הקשורות לממשלה, ציינו החוקרים.

מבדיקה שעשינו ניתן לראות כי מועלים לשירות VirusTotal, כ- 2.2 מיליון קבצים ביום, מתוכם מיליון קבצים מזוהים לפחות על ידי אנטי וירוס אחד כקובץ malware. לפי ההערכות, גודלו של קובץ ממוצע עומד על כ- 90 טרה, הנגישים למי שמשלם עבור המנוי המינימאלי, ואף יותר עבור מי שמשלם על שירות פרימיום. 

כמו כן, תוך כדי המחקר, החוקרים מצאו כי ההאקרים שמבצעים את התקיפות בפועל משתמשים בvirustotal-  כפלטפורמה לפרסם מידע גניב כטיזר על מנת לשכנע פושעים להגיע לפורום שלהם ולרכוש את כל המידע שנגנב. המידע המפורסם מכיל אלפי סיסמאות של נתקפים בכל פרסום.
חוקרי סייפבריצ' פנו ל- Google עם הממצאים שלהם וביקשו שיסירו את הקבצים שמצאו באתר, כך שלא יהיו נגישים לפושעים המשתמשים בשיטה. החוקרים אף ייעצו להוסיף אלגוריתם האוסר העלאת קבצים עם נתונים רגישים המכילים טקסט רגיל, או קבצים מוצפנים עם סיסמת הפענוח המצורפת, בטקסט או בתמונה.

תומר בר, דיקרטור מחקר בחברת סייפבריצ'- צילום מאיר כהן-min

תומר בר, דירקטור מחקר ב-SafeBreach: "במסגרת המחקר, הוכחנו שהשיטה עובדת בקנה מידה משמעותי. פושע המשתמש בשיטה זו יכול לאסוף מספר כמעט בלתי מוגבל של נתונים רגישים של המשתמש,  במאמץ מינימלי, תוך זמן קצר ובגישה נטולת וירוסים. זו טכניקה די פשוטה, שאינה דורשת הבנה חזקה בתוכנות זדוניות, כל מה שאתה צריך זה לבחור את אחת משיטות גניבת המידע הנפוצות ביותר ולקרוא על זה באינטרנט. 

קראנו לזה פשע הסייבר המושלם, לא רק בשל העובדה שאין סיכון והמאמץ נמוך מאוד, אלא גם בשל חוסר היכולת של הקורבנות להגן על עצמם מפני פעילות מסוג זה. לאחר שקורבנות נפרצו על ידי ההאקר המקורי, לרובם יש ראות מועטה לגבי המידע הרגיש שמועלה ומאוחסן ב-VirusTotal ובפורומים אחרים. ההפחתה צריכה להיעשות בעיקר על ידי הספקים של מאגרים כאלה".

"צוות SafeBreach למד ושיפר את השאילתות שלו בזמן שחקר את VirusTotal," הוסיף בר. "כך לדוגמה, מצאנו מספר תוקפים שדחסו את הנתונים של הקורבנות בקובץ ארכיון גדול. VirusTotal מספקת דרך לחפש קבצי ארכיון המכילים שמות קבצים קבועים, כך שכאשר הם מצאו קובץ בודד, הם מצאו גם נתונים גנובים השייכים למאות קורבנות".

לידור צרויה
עם מספר שנים של עבודה וניסיון בתחום ה-New Media והטכנולוגיה, לידור החליט להקים את Tech-IL בשנת 2018 עם מטרה ברורה – להיות שם דבר בתחום הטכנולוגיה. עם ניסיון וידע רב בניהול דיגיטל, עריכה, וטכנולוגיה, לידור מביא מוטיבציה ורצון לשים תוכן איכותי וטוב בחזית המדיה ע"י סיקורים, חדשות, וסרטונים בערוץ היוטיוב.
דילוג לתוכן