Numbered Panda

Numbered Panda (פנדה ממוספרת) הינה קבוצת תקיפה הנחשבת מקושרת לצבא הסיני. קבוצה זו פועלת בעיקר כלפי יעדים במזרח אסיה, בדגש על כאלו בעלי זיקה לממשל הטוויאני עימו נמצא הממשל הסיני בעימות מתמשך (עימות שנובע מוויכוח על הבעלות על סין).

לקבוצה שורה של כינויים בהם היא משתמשת, כגון JOY RAT, APT-12, TG-2754, BeeBus, Calc Team DNSCalc, Group 22, Crimson Iron. ע"פ ההערכות, היא החלה את פעילותה בשנת 2009, על אף שהיא עלתה לכותרות לראשונה רק ב2012. האירוע הראשון שמיוחס לה הוא מתקפת phising משמעותית כלפי יעדים בדרום מזרח אסיה (החל ממשרדי ממשלה, חברות תקשורת וכו'), במסגרתה גרמו התוקפים לעובדי החברה להוריד קבצי PDF וExel בתוכם הייתה מוטמעת התוכנה הזדונית ixeshe, שאפשרה לתוקפים לקבל מידע על כל השירותים והתהליכים הפעילים, להפסיק שירותים, לבצע העלאה של קבצים למכונות המותקפות ולהפעיל את אותן קבצים, לפתוח תהליכים חדשים ועוד ועוד. כאשר לאחר שהופעל במכונה הנתקפת, החל ixeshe להתפשט ברשת כולה בעזרת יצירת קשר עם שרתי הפיקוד והבקרה (C & C – Command & Control System) והפיכת המכשירים הפגיעים עצמם לשרתים כאלה. לixeshe היו מספר טכניקות להסתיר את דבר היותה ברשת ובין היתר היא יצרה לעיתים תכופות תעבורה של אתרי wordpress ובלוגים, על-מנת שתעבורת הרשת לא תיראה יוצאת דופן. על-אף שהשתמשה כמובן בProxy לכל אורך המתקפה, שגיאה באחת מהשרתים עימם תקשרה חשפה את העובדה  שמדובר בתוקפים סיניים, ממחוז גואנגדונג בעיר סין.

ע"פ ההערכות, Numbered Panda היא גם זו שעומדת מאחורי התקיפה על רשת המחשבים של הניו-יורק טיימס ב2012. התקיפה התרחשה לאחר שהניו-יורק טיימס פרסם אייטם שלילי על ון ג'יאבאו, ראש ממשלת סין באותה תקופה. האייטם עסק במשפחתו של ג'יאבאו ובמליארדי הדולרים שצברה במהלך העשור שהוא כיהן בתפקיד. כאמור, לאחר פרסום האייטם, הותקפו שרתי העיתון במתקפה שנערכה כארבעה חודשים ובמסגרתה חדרו התוקפים למחשבי עובדים רבים, השיגו שמות משתמש, סיסמאות ומידע נוסף, אך לא המיטו נזק, מלבד חיפוש מאסיבי בחשבון המייל של דיוויד ברבוזה (הכתב שעמד מאחורי האייטם על רה"מ סין), שם, ככל הנראה, הם חיפשו את המקורות שהעבירו לברבוזה את המידע. ע"פ ההערכות, מאחורי התקיפה עמדה פנדה ממוספרת, שהשתמשה בגרסאות מעודכנות של ixeshe ובנוזקה Aumlib עבור החדירה לרשת העיתון. טכניקה נוספת שהשתמשה בה Numbered Panda במהלך התקיפה, היא שימוש במחשבים של אוניברסיטאות בארה"ב אליהן פרצו התוקפים קודם-לכן כמחשבי התקיפה שתיקשרו עם רשת הניו-יורק טיימס, זאת ע"מ להסוות את מקור המתקפה. 

 אירוע משמעותי נוסף שע"פ הערכות עומדת מאחוריו קבוצת התקיפה, הוא המתקפה הממושכת כלפי יעדים בטיוואן ויפן, בין השנים 2011-2014. במתקפה זו השתמשו התוקפים בעיקר בנוזקה Etumbot שנוהגת להיטמע ולהסתתר בתוך קבצי word לגיטימיים לאחר כניסתה למכשיר הנתקף. גם במקרה הזה, ע"פ הערכות, השתמשה הקבוצה בטכניקות phishing שגרמו להורדת קבצי PDF וסוגי מסמכים אחרים בהם הוטעמה התוכנה הזדונית (פעמים רבות המסמך נשלח מחשבון מייל של עובד אחר, אותו פרצו התוקפים קודם לכן). לאחר הורדת המסמך שכאמור, הכיל בתוכו גם את הקובץ הזדוני, גרמו התוקפים ליעד להפעיל את התוכנה הזדונית בעזרת שימוש באלגוריתם הדו-כיווניות, כלומר, שינוי כיוון הכתיבה של שם הקובץ, כך שקובץ שהיה בפועל file.src.

החל מסוף 2016 זוהה ע"י פאלו אלטו שימוש של קבוצת התקיפה גם בנוזקה Reaver,  שמאפשרת שליטה מלאה במכשיר הנתקף. ניתוח תוכנה זדונית זו מראה קווים מזהים בינה לבין הנוזקה SunOracle, כך שיש להניח שגם מאחוריה עומדת פנדה ממוספרת. 

Numbered Panda נחשבת לקבוצת תקיפה שעוקבת אחר פרסומים בעניינה ומתאימה את עצמה כל-העת עם טכניקות חדשות ופיתוחים חדשים. לדוגמא, לאחר פרסום דו"ח של חברת Arbor Security במאי 2014 על קבוצת התקיפה, השימוש שלה בEtumbot והדרכים לזהות אותה, ביוני 2014 כבר זוהה שינוי בשימוש בEtumbot ע"י הקבוצה ושימוש בגרסה חדשה יותר של הנוזקה – HighTide, שמנגנון הGET HTTP שלה פועל באופן שונה מהגרסה הישנה.

התנהגויות נפוצות של הקבוצה: 1. כאמור, שימוש באתרי wordpress ובלוגים ע"מ להערים על ניתוח תעבורת הרשת ולגרום לתעבורה להיראות כלגיטימית. 2. שימוש בphishing שמתמקד במסמכים בתוכם מוטמעת התוכנה הזדונית. 3. הנוזקות בהן משתמשת הקבוצה נוהגות ליצור קשר עם שרת הc&c בעזרת פרוטוקולי HTTP וTCP וכן להפוך את חלק מהמכשירים הנגועים לשרתי פיקוד בעצמם. 4. חישוב דינמי של פורט היציאה לשרת הc & c ובכך לא ליפול בטווח הפורטים החסומים מראש ע"י מנגנון ההגנה בארגון בעזרת מגוון שיטות. השיטה הנפוצה ביותר היא להכפיל את שתי האוקטטות הראשונות של כתובת ה- IP ולהוסיף את האוקטט השלישי לתוצאת המכפלה. זה מיוצג בדרך כלל כ: A * B) + C) וערכים נפוצים עשויים להיות ?.200.2.43, מה שיוביל לתקשורת בפורט 443. 

נוזקות שנפוץ לראות את הקבוצה משתמשת בהם: Etumbot, iXEshe, HighTide, Reaver, SunOracle IHEATE, RapidStealer, Aumlib, Threebyte, watherspout. 

Related Post