IONSEC אודות

IONSEC הינה חברת בוטיק לשירותי אבטחת מידע ותגובה לאירועי סייבר (24/7) העוסקת במחקר ותגובה לאיומים מתקדמים ומספקת פתרונות אבטחה מותאמים אישית לחברות ברחבי העולם.

היתרון שלנו

היתרון של IONSEC על פני שירותים אחרים בא לידי ביטוי ביכולות המחקר הבאות לידי ביטוי בשלב הצייד

.(Threat Hunt)

צוות המחקר של IONSEC בא לידי ביטוי ב20 אחוז הנותרים של תקיפות הסייבר, כאשר מדובר בתקיפות הסייבר מתקדמות שיודעות לעקוף את מערכות האבטחה. ע"י שימוש ביכולות ביג דאטה + סוכן ייעודי אנחנו ב IONSECיודעים למצוא את התוקפים המתקדמים ביותר היכן שמוצרי ההגנה נכשלים.

OpIsrael Campaign# :מנהלים תקציר

#OpIsrael הוא קמפיין סייבר גלובאלי המכוון לתשתית דיגיטלית ישראלית הן אזרחית וממשלתית. הקמפיין, שיזם על ידי קבוצת אנונימוס בשנת ,2013 ראה השתתפות של קבוצות האקטיביסטים והאקרים אינדיבידואלים שונים מרחבי העולם. הפעילות של הקמפיין מגיעה לשיא מדי שנה בסביבות ה7- באפריל, כאשר רוב פעולות התקיפה מכוונות לאתרים ושירותים ישראלים עם מגוון התקפות סייבר כולל DDoS )מניעת שירות מבוזרת,( השחתת אתרים, גניבת מידע ושחרור נתונים גנובים. הקמפיין מתיימר למחות על המדיניות והפעולות הישראליות בנוגע לסכסוך ישראל-והפלסטינים, במטרה לשבש את השירותים המקוונים הישראליים ולמשוך תשומת לב בינלאומית.

ההקשר של הסכסוך בין ישראל לעזה וההתפתחויות האחרונות בעקבות ה7- לאוקטובר

הסכסוך בין ישראל לפלסטינים הוא מאבק גיאופוליטי רב שנים שבמרכזו מחלוקות טריטוריאליות, ריבונות מדינית והכרה הדדית בין מדינת ישראל לשטחים הפלסטיניים, ובמיוחד רצועת עזה. הסכסוך הוביל לפעולות צבאיות, למחאות ולהגברת המתיחות באזור לאורך השנים. בתגובה למתקפה משמעותית של חמאס על ישראל ב7- באוקטובר, שסימנה הסלמה חמורה בסכסוך, יזמה ישראל מבצע צבאי נגד מטרות חמאס בעזה. ההתפתחות האחרונה הזו ככל הנראה תשפיעה על האינטנסיביות והמיקוד של פעילויות ,OpIsrael# כאשר התקפות סייבר חופפות לרוב או מגיבות להתפתחויות בסכסוך.

נקודות מפתח

- קמפיין שנתי: OpIsrael# הוא קמפיין סייבר שנתי עם פעילות מוגברת בסביבות ה7- באפריל, המכוון לאתרים ושירותים דיגיטליים ישראלים על מגוון רחב של מגזרים.

- השתתפות מגוונת: הקמפיין מושך מגוון רחב של משתתפים, מקבוצות האקטיביסטיות הקשורות באופן רופף ועד אנשים המונעים על ידי גורמים שונים, כולל אמונות פוליטיות ואידיאולוגיות.

- טקטיקות סייבר מגוונות: הטקטיקות כוללות התקפות ,DDoS השחתת אתרים, גניבה והפצת נתונים, במטרה לשבש את התשתית הדיגיטלית הישראלית ולהפיץ מסרים התומכים בפלסטין.

- השפעת הסכסוכים הצבאיים האחרונים: הסכסוך הצבאי האחרון שיזמה ישראל בעקבות מתקפת חמאס ב7- באוקטובר ככל הנראה ישפיע ישירות על העוצמה, המטרות והיעדים של ,OpIsrael# כאשר הקמפיין מבקש לעתים קרובות להדגיש או להגיב נגד פעולות ישראל בעזה.

- השלכות אבטחה על ישראל: OpIsrael# מציג אתגרי אבטחת סייבר מתמשכים עבור משאבים מקוונים של ממשל ישראל, ותאגידים אזרחיים, המחייבים תגבור אמצעי הגנת סייבר וערנות מתמדת.

- תשומת לב בינלאומית: מעבר להשפעתה המיידית, OpIsrael# מבקשת למשוך תשומת לב בינלאומית לסכסוך ישראל- עזה ולהשלכות של הסלמה הצבאית האחרונה, תוך שימוש באקטיביזם קיברנטי כדי להשפיע על דעת הקהל והשיח הפוליטי.

קמפיין OpIsrael# מדגיש את יחסי הגומלין המורכבים בין פעילויות במרחב הקיברנטי לסכסוכים גיאופוליטיים, ומחדד את התחום הדיגיטלי כזירה משמעותית לאקטיביזם, מחאה וחתירה אחר יעדים פוליטיים בהקשר של הסכסוך בין ישראל לעזה.

פריסה גראפית של קמפיין OpIsrael#

תמונה 1 - גרף המציג את הקבוצות, שיטות תקיפה וכלים כחלק מקמפיין OpIsral

קבוצות תקיפה מרכזיות

| שיוך גיאוגרפי | שיטות תקיפה מרכזיות | קבוצת תקיפה | |---------------|---------------------|----------------------------| | Bangladesh | DDoS, Defacement | Mysterious Team Bangladesh | | Sudan | DDoS, Defacement | Anonymous Sudan | | Bangladesh | Defacement | Eagle Cyber Crew | | לא ידוע | DDoS, Doxxing | Team ARXU |

Mysterious Team Bangladesh

היא קבוצה האקטיביסטית מבנגלדש, הידועה במעורבותה בקמפיינים סייבר כמו .OpIsrael# הפעולות שלהם, המונעות ממניעים פוליטיים, מכוונות לעתים קרובות לגופים בינלאומיים כדי להעביר מסרים מחאה או אמונות אידיאולוגיות. פעילויות מפתח כוללות השחתת אתרים, התקפות DDoS ודליפות נתונים, במטרה לשבש שירותים ולמשוך תשומת לב לסיבות שלהם. פעולות הקבוצה מדגישות את המגמה הרחבה יותר של אקטיביזם סייבר, המציגה אתגרי אבטחה לארגונים ממוקדים. עם זאת, האופי האנונימי והמתפתח של פעולותיהם מקשה על ייחוס מלא של התקפות או הערכת יכולותיהן.

מוטיבציה ומטרות

מניעים פוליטיים: הפעולות שלהם מונעות בדרך כלל על ידי מניעים פוליטיים אופורטוניסטים, תוך התמקדות בנושאים המהדהדים לאמונות האידיאולוגיות או האינטרסים הלאומיים שלהם.

יעדים בינלאומיים: למרות שהם נקשרו לפעולות כמו ,OpIsrael# מה שמצביע על נכונות לעסוק בקמפיינים בינלאומיים בתחום הסייבר, ההיקף המדויק של היעדים שלהם יכול להשתנות בהתבסס על ההקשר הפוליטי והיעדים של הפעילות שלהם.

טכניקות תקיפה

השחתת אתרים: אחת הטקטיקות הנפוצות יותר של קבוצות כמו Bangladesh Team Mysterious כוללת השחתת אתרים כדי להעביר מסרים פוליטיים או הצהרות מחאה.

מניעת שירות מבוזרת :DDoS)) הם עשויים גם להשתתף בהתקפות DDoS שמטרתן להכריע ולהפיל אתרים או שירותים מקוונים ממוקדים.

דליפות נתונים: גניבה והדלפת מידע רגיש מהמטרות שלהן כדי להביך אותן או לחשוף עוולות שנראו.

**Mysterious Team Bangladesh** של הטלגרם מערוץ מסר - 2 תמונה

כלים ידועים

הקבוצה עושה שימוש במגוון כלים כדי לבצע את התקפות הDDoS- שלה כמה מן הכלים שבהם הקבוצה עשתה שימוש בעבר הם:

Http-flood - כלי שמבצע בקשות HTTP מרובות כנגד מטרה אחת או יותר על מנת להציף אותה בבקשות ובכך להשבית משירות את אותו משאב או שירות, לכלי יש יכולות מיסוך והוא יודע להסוות את פעילותו.

לכלי ,IEEE ו DP/TCP, ICMP, HTTP, L2CAP, ARP כגון פרוטוקולים של רב במספר התומך DDoS כלי - Raven-Storm

יש יכולות לתקשר גם עם בוטים נוספים שמריצים את הכלי ובכך לייצר רשת בוטים כחלק מהתקפת DDoS מבוזרת.

-HULK עוד כלי מבצע DDos תוך כדי יצירת בקשות HTTP מרובות על מנת להשבית שרתי web לכלי יש יכולות מיסוך על ידי שינוי ה User-Agnet- שמגיע כחלק מהבקשות וגם יכולת לשנות את מקור הבקשה על ידי שינוי הrefferer- שמגיע ב-

HTTP Header

‍

Anonymous Sudan

אנונימוס סודן היא קבוצת האקטיביסטים שקושרת לפעולות סייבר שונות, במיוחד אלו המכוונות לתשתית דיגיטלית ישראלית כחלק מקמפיין .OpIsrael#

קבוצות האקטיביסטיות כמו אנונימוס סודן מתיישרות לעתים קרובות עם קולקטיבים גדולים יותר כמו אנונימוס, תנועה האקטיביסטית בינלאומית מבוזרת הידועה במחאות הסייבר שלה נגד ממשלות, ארגונים ותאגידים, הדוגלת בחופש הביטוי, זכויות אדם וגורמים פוליטיים שונים.

תמונה 6 - התקפת DDoS על HOT בערוץ הטלגרם של **Sudan Anonymous**

מוטיבציה ומטרות

לאחרונה פורסמו מספר דיווחים על שיתוף פעולה או שיוך של Sudan Anonymousלגורמים הפועלים בחסות רוסיה ושיתוף פעולה של Sudan Anonymousעם קבוצה בשם KillNet הידועה בפעילות כנגד מטרות אנטי רוסיות וככל הנראה הקבוצה פועלת בחסות רוסיה.

השיוך בין Sudan Anonymousלבין רוסיה עדיין אינו ברור עד סופו¹

טכניקות תקיפה

התקפות DDoS: עומס יתר על אתרי יעד בתנועה מוגזמת כדי לשבש את הפעילות הרגילה שלהם. השחתת אתרים: שינוי המראה של אתרים כדי להציג מסרים פוליטיים או תעמולה.

פריצות והדלפות של מידע: הסתננות מידע רגיש וחשיפתו בפומבי כדי להביך מטרות או לגייס תמיכה למטרותיהן. השפעה ופעילויות

כלי תקיפה ידועים

Sudan Anonymous עושים שימוש במספר כלי DDoS לדוגמא:

CC-attack - כלי DDoS המאפשר התקפות flood ,http הכלי תומך ב4/5socks- המאפשר מיסוך של ההתקפות משרתי פרוקסי שונים ושינויים של מבנה הheader- HTTP כדי על מנת להתחמק מזיהוי

¹ https://cybercx.co.nz/blog/a-bear-in-wolfs-clothing/

Stresser7 - עוד כלי DDoS התומך בפרוטוקולים

-Xssmap כלי סריקה המיועד למצוא פגיעויות מסוג XSS באתרי אינטרנט

ASKT - כלי המיועד לסריקה וזיהוי של פגיעויות XXS ו SQL באתרי אינטרנט

Eagle Cyber Crew

Crew Cyber Eagle היא קבוצת האקטיביסטים שלקחה חלק בקמפיינים שונים. הקבוצה לקחה חלק פעיל בקיימפנים

Tiger -ו EXPLOITATION, Khalifah Cyber Crew-4 כמו אחרות האקטיביסטיות קבוצות עם יחד #OpAbabeel כגון

Crew Cyber קיימפיין זה נוצר היה בתגובה להאקטיביסטים הודים שהיו מעורבים בהדלפת נתונים של אזרחים מוסלמים באיזור אסיה.

מוטיבציה

הפעילויות שלהם, במיוחד אלה הקשורות ל,OpAbabeel- מעידות על כך שהקבוצה היא בעלת מוטיבציה פוליטית, במטרה להגיב נגד פעולות הנתפסות כעוינות כלפי אזרחים מוסלמים. הקבוצה לקחת חלק פעיל גם בקמפיין #OpIsral בעבר וכמו בקמפיינים אחרים שיתפה פעולות עם קבוצות אחרות שלקחו חלק פעיל ב.#OpIsrael-

טקטיקטות תקיפה

הקבוצה השתמשה בטקטיקות כמו התקפות ,DDoS השחתת אתרים והדלפת נתונים תוך כדי שימוש בכלי Open Source ופרסום הנתונים בטלגרם.

כלי תקיפה ידועים

-sqlmap הוא כלי מבצע אוטומציה של תהליך הזיהוי והניצול של פגיעויות injecion sql והשתלטות על שרתי מסד נתונים. הוא מגיע עם מנוע זיהוי חזק ויכולות רבות כגון fingerprinting database , שליפת נתונים ממסדי הנתונים ועוד

‍

NoSqlMap - בדומה ל sqlmap המיועד יותר למסדי נתונים רלציונים כגון MySqlMap הכלי NoSqlMap בא לספק יכולות דומות מול מסדי נתנוים שאינם מבוססים על טבלאות כלומר רלציונים, הכלי תומך בסדי נתונים כגון MongoDB ו CouchDB ומאפשר לתוקפים יכלות לתקוף מסדי נתונים אלו שנהיו פופולרים יותר בשנים האחרונות.

Leviathan

היא ערכת כלים המספקת יכולות מגוונות ומיועדת בעיקר כדי לסרוק מטרות ולמצוא מספר רב של פגיעויות ככל הניתן, הכלי מבוסס על סדרת כלים כגון ncrack ו dss מגוון היכולות של הכלי כוללים בין היתר זיהוי פגיעויות בשרתי

FTP, SSH, RDP, MYSQL

‍

WSO - הינו webshell מוכר הכתוב ה,PHP- המגיע בצורה מקודדת, ראשית הwebshell- מפענח את עצמו ולאחר הפיענוח מתקבלת הגרסה המפוענחת, לwebshell- קיימות מספר יכולות כגון יכולות הזרקת קוד javascript לדפי אינטרנט והרצת פקודות על השרת עליו מותקן ה.webshell- יתרה מזאת לwebshell- קיימות יכולות ניטור על ידי האופרטור.

ניתן לראות את תחילת הקוד המפעונח הwebshell- יודע לקבל את השרת המבוקש ואת הסקריפט אותו האופרטור מבקש לשתול.

כאן ניתן לראות את פאנל השליטה של האופרטור המפעל את WSO על השרת המרוחק.

Team ARXU

‍

Arxu Team היא קבוצת האקטיביסטים שלקחה חלק בקמפיינים שונים. הקבוצה הייתה פעילה בעבר בקמפיין #OpIsrael ובקמפיינים אחרים המאפיינים קבוצות האקטיביסטים שונות. לא ידוע על שיוך הקבוצה למיקום גאוגרפי מוסיים ויתכן כי קבוצה זו מורכבת מהאקרים אנידיודואלים המצטרפים יחד תחת הכינוי Arxu Team על מנת לפעול יחד בקמפיינים מאורגנים אך ממעבר בערוץ הטלגרם של הקבוצה עושה רושם שמירב החברים שפעילים שם מקורם מארצות כמו פקיסטן ובנגלדש

מוטיבציה

הפעילויות שלהם מוכוונת לפגוע כנגד מטרות המשרתות את הג'נדה הפוליטית של חברי Arxu ,Team פעילות העבר של Arxu Team אינה מתאפיינת באג'נדה קבועה ומוגדרת, נראה כי המטרות של הקבוצה הם אופורטוניסטיות ואינם מאופיינות בצורה חד משמעית, מה שמחזק את הסברה כי לא מדובר בקבוצה קוהרנטית של האקרים הפועלים למטרה מוגדרת אלה יותר כמו מסגרת שתחתיו פועלים אינדיודואלים המתארגנים לפעול נגד מטרות שמשרתות את האג'נדה הנקודתית שלהם.

טקטיקות תקיפה

כלים ידועים

-DDoS האקרים הפועלים תחת קבוצה זו עושים שימוש בכלי DDoS שהוזכו בדוח זה.

SQLiv - כלי סרקיה למציאת פגיעויות בשרתי .SQL לכלי מספר יכולות סריקה כמו שימוש בDorking- ,Google יכולות

.ועוד sql-injection-payload-list-ב ושימוש סריקה

‍

Pacu - הינו כלי לניצול פגיעויות בAWS- לכלי יש מספר יכולות כגון סריקה של S3Buckets חשופים יכולות Privilege Escalation ב IAM AWS ועוד, הכלי הוא כלי מודולרי וניתן להרחבה על ידי המשתמש.

‍

תמונה 17 - פרסום של הכלי בערוץ הטלגרם של Arxu Team

‍C99Shell - הוא webshell הכתוב בPHP- ומאפשר מספר יכולות כגון הרצת פקודות הורדה והעלאה של קבצים ועוד.

תשתיות ידועות של הקבוצות הרלוונטיות

כאמור טקטיקה התקיפה העיקרית שבהן הקבוצות המתשתתפות ב#OpIsrael- היא DDoS רוב הקבוצות עושות שימוש בשרתי פרוקסי כדי למסך את הפעילות שלהם להלן ניתוח התשתיות הידועות של הקבוצות השונות שנעשו שימוש בקמפיינים שונים, ראוי לציין כי הרוב המכריע של הקבוצות עושה שימוש חוזר בתשתיות אלו ואף משתף אותן בין הקבוצות השונות בערוצי הטלגרם

ניתן לראות קישור בין כתובות הIP- השונות, כל כתובות הIP- הם כתובות Proxy ועושה רושם שהקבוצות השונות עושות שימוש תדיר בשירותים של NordeVPN כדי למסך את התקפות הDDoS- שלהם. כמו כן לא מעט מהכתובות הנל היו מעורבות בעבר התקפות DDoS אחרות.

איתור וזיהוי (IOC’s)

∙ לקוחות ה MDR שלנו מוגנים באופן אוטומטי על כלל מזהי .opIsrael

∙ הצורה הטובה ביותר להזנה אוטומטית של מערכות הניטור היא חיבור למערכת שיתוף המזהים שלנו (MISP)

צרו קשר לפרטים נוספים.

סקירה מודיעינית 2024 #OpIsrael

IONSEC אודות

היתרון שלנו

OpIsrael Campaign# :מנהלים תקציר

ההקשר של הסכסוך בין ישראל לעזה וההתפתחויות האחרונות בעקבות ה7- לאוקטובר

נקודות מפתח

פריסה גראפית של קמפיין OpIsrael#

קבוצות תקיפה מרכזיות

Mysterious Team Bangladesh

מוטיבציה ומטרות

טכניקות תקיפה

כלים ידועים

Anonymous Sudan

מוטיבציה ומטרות

טכניקות תקיפה

כלי תקיפה ידועים

Eagle Cyber Crew

מוטיבציה

טקטיקטות תקיפה

כלי תקיפה ידועים

Team ARXU

מוטיבציה

טקטיקות תקיפה

תשתיות ידועות של הקבוצות הרלוונטיות

איתור וזיהוי (IOC’s)

כתובות IP

Yara חוקי

IDS חוקי

Read more