האקרים תקפו חברות תעופה רוסיות כדי לגנוב נתוני לוויין ו-GPS

קבוצת ריגול סייבר תקפה סוכנויות ממשלתיות רוסיות וחברות תעופה כדי לגנוב נתונים גיאו-ספטיאליים רגישים, כך לפי דו"ח של קספרסקי שפורסם בסוף השבוע.

הקבוצה, HeartlessSoul, פעילה לפחות מאז ספטמבר 2025. לפי חברת המחקר והגנת הסייבר הרוסית, חבריה ביצעו מתקפות סייבר על סוכנויות ממשל רוסיות, חברות במגזרי התעשייה והתעופה, כמו גם על משתמשים פרטיים. זהותם הלאומית של חברי הקבוצה לא פורסמה.

"הצלחנו לאתר את כתובות שרת הפיקוד והשליטה שלהם ואת הקשר של השרת למטען הזדוני העיקרי שלה – סוס טרויאני מסוג JavaScript RAT", כתבו החוקרים, "חקרנו את הפונקציות שלא תוארו קודם לכן בפירוט, וכן השגנו את המודולים הנוספים שהנוזקה מורידה".

לפי חוקרי קספרסקי, "התוקפים התעניינו במיוחד בהשגת נתוני מערכות מידע גאוגרפיות (GIS), פורמטים מיוחדים של קבצים שיכולים לחשוף מידע מפורט על תשתיות כמו כבישים, רשתות הנדסיות, שטח ואולי מתקנים אסטרטגיים. קבצים שכאלה נמצאים בשימוש נפוץ על ידי ארגונים הנדסיים, ממשלתיים ותעשייתיים ויכולים להכיל נתוני מיפוי מפורטים".

"ניתוח פעילות הקבוצה מעיד על עניין ממוקד של התוקפים בעסקים בתעשייה הרוסית, במטרה להשיג נתונים חסויים, במיוחד מידע גיאו-מרחבי," אמרו החוקרים.

ההאקרים הצליחו להשיג גישה למערכות הקורבנות בעיקר דרך מיילים של פישינג שהכילו קובצי ארכיון נגועים. הם גם הריצו קמפיינים פרסומיים זדוניים, שהכילו קישורים לאתרים מזויפים. האתרים מציעים תוכנות המשמשות ארגונים במערכות תעופה, וההאקרים שכנעו את הקורבנות להוריד את התוכנות הללו.

במקרים מסוימים, התוקפים יצרו דומיינים שחיקו משאבים הקשורים לתעופה והשתמשו בהם להפצת נוזקות שהתחזו לתוכנה לגיטימית. לאחר ההורדה, הקבצים מפעילים באופן אוטומטי את תהליך ההדבקה.

החוקרים גילו גם, שהקבוצה השתמשה בפלטפורמת אחסון תוכנה לגיטימית, SourceForge, להפצת הנוזקות. אז, הם העלו גרסה מזויפת של GearUP, שירות שנועד לשפר את איכות החיבור במשחקים מקוונים. כך, משתמשים שחיפשו את הכלי – הורידו מבלי דעת רוגלות.

ברגע שהנוזקה חדרה למכשיר של הקורבן, היא אספה נתונים בהיקף נרחב, כולל צילומי מסך, הקשות מקלדת, נתוני דפדפן וקבצים המאוחסנים במערכת. היא גם חילצה פרטי התחברות מאפליקציית טלגרם, לרבות נתונים של מיקום המכשיר.

במהלך החקירה, חוקרי קספרסקי זיהו קשרים בין HeartlessSoul לקבוצת האקינג נוספת, גופי (Goffee), שבעבר פגעה במערכות רוסיות וגנבה קבצים רגישים מכונני פלאש. "החפיפה בין שתי הקבוצות עשויה להעיד על פעולות מתואמות, או קשורות", אמרו החוקרים.

גופי הוא קמפיין סייבר מתמשך המיוחס לקבוצת האקרים פרו‑אוקראינית. חברי הקבוצה עשו שימוש בבינה מלאכותית לצורכי ריגול תעשייתי צבאי. ההאקרים תקפו בסוף 2025 חברות רוסיות המפתחות מערכות הגנה אווירית, אלקטרוניקה רגישה ותשתיות ביטחוניות נוספות, באמצעות מסמכים מזויפים שנוצרו בכלי בינה מלאכותית ומשמשים כפיתיונות ממוקדים לעובדים ולמנהלים.

בניגוד להערכות של חוקרי קספרסקי, שלפיהן המטרה העיקרית של הקמפיין האחרון של HeartlessSoul הייתה תעשיית התעופה, היה מי שחשב אחרת: אולג שאקירוב, אנליסט סייבר רוסי עצמאי, כתב בערוץ הטלגרם שלו, כי "הנוזקה שתוארה על ידי החוקרים הופצה גם באמצעות קבצים שהתחזו כסימולטורי רחפנים FPV וכלים שנועדו לעקוף מגבלות על סטארלינק, שירות האינטרנט הלווייני. אם זה אכן נכון, הממצא עשוי להצביע על כך שההתקפות כוונו לא רק כנגד חברות תעופה אלא גם למול מפעילי רחפנים, מומחי תקשורת, או אנשי צבא אחרים".

מומחים העירו בספקנות, כי הייתה רק מילה אחת שלא נכתבה בדו"ח של ענקית הגנת הסייבר הרוסית: אוקראינה.