פוטין שידרג את יכולות הסייבר ההתקפיות שלו

רוסיה ממשיכה במלחמת הסייבר שלה נגד אוקראינה והעולם המערבי – לצד המלחמה שלה מול האוקראינים בממד הפיזי, שנוחלת הצלחות חלקיות בלבד. ההתפתחות האחרונה במלחמה הקיברנטית בין שתי המדינות היא מחקר חדש אודות קבוצת התקיפה Asylum Ambuscade, שמתמקדת בפשיעת סייבר, ריגול ותקיפת מדינות הגובלות באוקראינה.

המחקר פורסם על ידי חברת אבטחת המידע ESET. קבוצת Asylum Ambuscade היא קבוצת פשיעת סייבר, שעוסקת בפעולות ריגול סייבר כעיסוק משני. הקבוצה הפעילה קמפיינים של ריגול סייבר החל מ-2020 לפחות.

אף שחוקרי ESET לא ציינו את הזהות הלאומית של התוקפים, הרי שבעבר, חוקרים מכמה חברות סייבר, בהן פרופפוינט וטרנד מיקרו, מצאו שהקמפיינים של הקבוצה נועדו לתקוף פקידים באירופה, שממשלותיהם היו מעורבות בסיוע לפליטים אוקראינים – זמן קצר לאחר פלישת רוסיה למדינה. החוקרים איתרו פריצות קודמות אצל פקידים ממשלתיים ואצל עובדים בחברות ממשלתיות במדינות מרכז אירופיות ובארמניה. על פי הדיווחים, ב-2022 הקבוצה תקפה פקידי ממשל בכמה מדינות אירופיות שגובלות באוקראינה.

במחקר החדש, אנשי ESET מעריכים שמטרתם של התוקפים היא לגנוב מידע מסווג ופרטי, ולהשיג גישה לתיבות מייל מפורטלים רשמיים של ממשלות ושל ספקי שירותי מייל. "בדרך כלל", נכתב, "קבוצת Asylum Ambuscade ממקדת את מתקפותיה בעסקים קטנים ובינוניים ובאנשים פרטיים בצפון אמריקה ובאירופה". עם זאת, כאמור, היא מרגלת נגד מדינות אחרות – כעיסוק משני.

"חריג לתפוס קבוצת פשעי סייבר שמבצעת פעולות ריגול ייעודיות"

מת'יו פאו, חוקר נוזקות ב-ESET, שניהל את המחקר אודות פעולותיה של הקבוצה, אמר כי "נראה ש-Asylum Ambuscade מתרחבת ומפעילה מפעם לפעם כמה קמפיינים לריגול סייבר. אלה החלו באחרונה כעיסוק צדדי, ומופנים כלפי ממשלות במרכז אסיה ובאירופה". לדבריו, "זה די חריג לתפוס קבוצת פשעי סייבר שמבצעת פעולות ריגול סייבר ייעודיות".

ב-2022, כשהקבוצה תקפה פקידי ממשל בכמה מדינות אירופיות שגובלות באוקראינה, שרשרת הפריצה החלה בהודעת מייל מסוג דיוג ממוקד (Spearphishing, דיוג חנית), שכללה קובץ מצורף זדוני מסוג אקסל או וורד. אם המחשב נמצא כ-"מענין" את התוקפים, הם הפעילו את AHKBOT – כלי הורדה שניתן להוסיף לו תוספים שנועדו לרגל אחרי המחשב של הקורבן. תוספים אלה מאפשרים יכולות מגוונות, בהן צילום המסך, מעקב אחר ההקשות במקלדת, גניבת סיסמאות מדפדפני אינטרנט, הורדת קבצים וגניבת מידע.

לפי החוקרים, "אמנם, הקבוצה נכנסה לאור הזרקורים בשל פעילויות ריגול הסייבר שלה, אך במרבית הזמן והחל מ-2020 היא הפעילה בעיקר קמפיינים של פשיעת סייבר". החל מינואר 2022, גוף המחקר של ESET מצא יותר מ-4,500 קורבנות של הקבוצה ברחבי העולם. "אמנם רוב הקורבנות נמצאים בצפון אמריקה", ציינו חוקרי ESET, "אך חשוב לציין שגילינו קורבנות גם באסיה, אפריקה ודרום אמריקה. טווח המטרות הוא רחב במיוחד וכולל בעיקר אנשים פרטיים, סוחרים במטבעות דיגיטליים, לקוחות בנקים ועסקים קטנים-בינוניים מתעשיות שונות".

פאו ציין כי "שרשרת האירועים בסייבר שבה מעורבים חברי קבוצת Asylum Ambuscade דומה באופן כללי לזו של מתקפות ריגול הסייבר שלה. ההבדל העיקרי הוא וקטור התקיפה, שעלול להיות מודעה זדונית בגוגל, שמפנה לאתר אינטרנט שכולל קובץ ג'אווה סקריפט זדוני, או הפניות HTTP מרובות".