קבוצת ההאקרים הסינית שחזרה לפעול | נחשפים פרטים חדשים על Ghost Emperor

חברת הסייבר הישראלית סיגניה (Sygnia) סייעה לבלום מתקפת סייבר מצד קבוצת האקרים הנתמכת בידי סין ומכונה Ghost Emperor ("קיסר רפאים"). בדו"ח חדש חושפת סיגניה פרטים טכניים מעמיקים וחדשים על הכלי המתקדם ששימש לתקיפה שבוצעה בסוף 2023 מול ארגון גדול שנפל קורבן ופנה לעזרת החברה, לאחר שהרשת שלו נפרצה ולאחר מכן נוצלה על מנת לחדור לרשת של ארגון נוסף.

בבלוג החדש מציינים חוקרי סיגניה כי Ghost Emperor נחשבת לקבוצת תקיפה מתוחכמת הקשורה לסין אשר מיקדה בעבר את מתקפות הסייבר שלה בעיקר כנגד גופי תקשורת וממשל בדרום מזרח אסיה. הקבוצה הסינית, שנחשפה לראשונה על-ידי חברת קספרסקי בספטמבר 2021, עושה שימוש בתוכנה זדונית מסוג rootkit בשם Demodex המאפשרת לתוקף לקבל הרשאות גבוהות כדי לפעול בצורה חשאית על תחנות הארגון ולהישאר מתחת לרדאר לאורך זמן.

בבלוג, חוקרי סיגניה חושפים לראשונה "שרשרת הדבקה" חדשה אשר הופעלה על ידי Ghost Emperor, הכוללת מספר שלבי טעינה (loading schemes) וטכניקות ערפול שונות המשמשות את הקבוצה להסוואת פעילותה ולהתחמקות ממערכות הגנה כמו EDR ואנטי-וירוס.

דור ניזר, חוקר נוזקות בכיר בחברת סיגניה צילום: דוברות סיגניה

"בדרך כלל, ברגע שקבוצת התוקפים משיגה גישה ראשונית לתחנות ברשת הקורבן, למשל על-ידי שימוש בחולשה או באמצעות תנועה רוחבית ברשת, מופעל קובץ אצווה (batch file) אשר מאתחל את שרשרת ההדבקה", מסביר דור ניזר, חוקר נוזקות בכיר בחברת סיגניה. במהלך ניתוח הממצאים הפורנזיים שהופקו מסביבת הקורבן, מצא צוות החוקרים של סיגניה דמיון רב לסט הכלים הרב-שלבי שתואר בבלוג של קספרסקי.

עם זאת, החקירה של סיגניה העלתה כמה שינויים משמעותיים בשרשרת ההדבקה ובשיטות הטעינה. 
בין השינויים שנמצאו, מתארים החוקרים כי שרשרת ההדבקה שנחקרה משלבת מגוון טכניקות אחרות להתחמקות, הסתרה והסוואה עד לשלב שבו מופעל באופן רפלקטיבי הכלי שבסופו של תהליך טוען את ה- Demodex.  בנוסף, זיהו החוקרים שימוש בשמות קבצים ובמפתחות שונים, וכן כי גרסת כלי הליבה אותה איתרו נעטפה בתאריך מאוחר יותר מזו שנחשפה ע"י קספרסקי.
 

'בחדרי' גם ברשתות החברתיות - הצטרפו!