מומחי אבטחת מידע חשפו השבוע נוזקה חדשה ומסוכנת במיוחד בשם PluggyApe, שמשנה את כללי המשחק בעולם הריגול הדיגיטלי.
בניגוד לנוזקות "מסורתיות" שמתקשרות עם שרתים חשודים, PluggyApe מנצלת את הפלטפורמות שאנחנו הכי סומכים עליהן, Signal ו-Telegram, כדי לקבל פקודות ולגנוב מידע, מה שהופך את הזיהוי שלה לכמעט בלתי אפשרי עבור מערכות הגנה סטנדרטיות.
הסוואה בתוך תעבורה לגיטימית
הייחוד של PluggyApe טמון בשימוש שלה בתשתיות תקשורת לגיטימיות כערוצי פיקוד ושליטה (C2 – Command and Control). לאחר שהיא חודרת למכשיר או למחשב, הנוזקה לא מנסה ליצור קשר עם כתובת IP אלמונית במזרח אירופה או בסין. במקום זאת, היא משתמשת ב-APIs הרשמיים של אפליקציות המסרים המאובטחות.
עבור מנהלי רשתות ותוכנות אנטי-וירוס, התעבורה הזו נראית תקינה לחלוטין, זוהי תקשורת מוצפנת מול שרתים מוכרים של מטא, טלגרם או סיגנל. ההאקרים "רוכבים" על האמון שהעולם נותן באפליקציות הללו כדי להעביר פקודות זדוניות מבלי לעורר חשד.
למה דווקא Signal, WhatsApp ו-Telegram?
הבחירה באפליקציות הללו אינה מקרית. האקרים מאחורי PluggyApe מנצלים שני יתרונות מרכזיים:
- הצפנה מקצה לקצה: מכיוון שהתקשורת בתוך סיגנל (ובצ'אטים סודיים בטלגרם) מוצפנת, כלי אבטחה שסורקים את תעבורת הרשת (Deep Packet Inspection) לא יכולים לראות מה נשלח בתוך ה"צינור".
- זמינות גבוהה: כמעט בכל ארגון או מכשיר פרטי, תעבורה לאפליקציות מסרים היא מותרת ואינה נחסמת על ידי חומות אש (Firewalls), מה שמאפשר לנוזקה לשמור על קשר רציף עם מפעיליה.
לפי הדיווח במחלקת הסייבר של מדינת אוקראינה, הנוזקה מסוגלת לגנוב סיסמאות, לצלם את המסך, להקליט הקשות מקלדת ואף להפעיל את המיקרופון, הכל תחת המעטה של הודעות תמימות לכאורה.
איך מתגוננים מפני נוזקות C2 מתוחכמות?
מכיוון שהנוזקה משתמשת בערוצים "בטוחים", ההגנה הטובה ביותר היא מניעת החדירה הראשונית:
- ערנות להודעות פישינג: PluggyApe מופצת לרוב דרך קבצים מצורפים במיילים או הודעות "דחוף" באפליקציות המסרים עצמן.
- ניתוח התנהגות (EDR): ארגונים צריכים להשתמש במערכות הגנה שלא רק בודקות לאן המידע הולך, אלא איך האפליקציות מתנהגות (למשל, תהליך לא מוכר שמנסה להשתמש ב-API של טלגרם).
- עדכוני תוכנה: הקפדה על עדכוני אבטחה של מערכת ההפעלה כדי לסגור פרצות שמאפשרות לנוזקה לקבל הרשאות גבוהות.
