האקרים רוסים ניצלו את מלחמת ישראל-חמאס לתקוף מדינות בסייבר

עשרות ארגונים ביותר מתריסר מדינות הותקפו בסייבר על ידי קבוצת האיומים הפועלת בחסות הממשל הרוסי. חברי הקבוצה ניצלו את מלחמת ישראל-חמאס, ועשו שימוש בפיתויים הקשורים למלחמה, כדי להקל על פריסת הנוזקה באירופה, אסיה ובמזרח התיכון; כך לפי דו"ח מודיעין איומים חדש של IBM X-Force.

המדינות שהותקפו הן: אוקראינה, אוסטרליה, איטליה, טורקיה, הונגריה, פולין, בלגיה, גרמניה לטביה, רומניה, ערב הסעודית, אזארביג'אן וקזחסטאן.

קבוצת האקרים אשר מוצאה מרוסיה, ידועה בכינוי דוב מהודר (Fancy Bear), או APT28. מקורה של קבוצת ההאקרים הוא ב-GRU, המודיעין הצבאי הרוסי. כינויים נוספים שלה הם סופת שלגים ביער (Forest Blizzard), דמדומי ברזל (Iron Twilight), אגם קפוא (FROZENLAKE), וכן Sednit, Sofacy, ו-TA422. חוקרי יבמ מכנים אותם ITG05.

הנוזקה בה השתמשו חברי דב מהודר כדי לתקוף היא מסוג דלת אחורית בשם HeadLace. היא זוהתה על ידי צוות ה-CERT (המרכז הארצי לטיפול באירועי סייבר) האוקראיני במתקפות קודמות שנערכו נגד התשתיות הקריטיות של המדינה, כולל ארגון אנרגיה אחד.

הקמפיין החדש – נגד יעדים בלפחות 13 מדינות ברחבי העולם

הנוזקה הופצה באמצעות מסמכים מזויפים של – לכאורה – האו"ם, שירות המידע והמחקר של הקונגרס, בנק ישראל, הפרלמנט האירופי, Razumkov – צוות חשיבה אוקראיני, הארגון הצרפתי לאוריינות דיגיטלית Cahier de Prépa, וכן ועדה בין-ממשלתית של אזרבייג'ן ובלארוס.

ממצא זה, ציינו החוקרים של הענק הכחול, "מצביע על כך שחברי דב מהודר עלולים להתמקד בארגונים אירופיים הפועלים לסיוע הומניטרי". לדבריהם, "סביר מאוד כי פריצה לכל דרג של מרכזי מדיניות חוץ-גלובליים, יכולה לסייע לאינטרסים של פקידי ממשל רוסים, ולספק להם תובנה מתקדמת על הדינמיקה וסדרי העדיפויות של הקהילה הבינלאומית בנושאים של סיוע ביטחוני והומניטרי". הם ציינו כי המשותף כמעט לכל הקורבנות הוא ש-12 מ-13 המדינות בהן נערכו המתקפות – חברות בוועדת זכויות האדם של האו"ם.

החוקרים כתבו כי "אנו מעריכים במידה רבה של ודאות, כי חברי הקבוצה ימשיכו לערוך ולמנף מתקפות נגד מרכזים דיפלומטיים ואקדמיים. זאת, על מנת לספק ליריב (הממשל הרוסי – י"ה) תובנות אודות החלטות מדיניות מתפתחות. נראה כי בהתבסס על ניתוח הפעילות של הקבוצה, היא התאימה עצמה לשינויים ומצאה עוד הזדמנויות בנוף איומי הסייבר, תוך ניצול פרצות שלא הוטלאו וחולשות שלא טופלו".

החוקרים סיימו את הדו"ח בציינם כי "הקמפיין החדש שחשפנו, מכוון נגד יעדים בלפחות 13 מדינות ברחבי העולם. הוא עושה שימוש וממנף מסמכים אותנטיים, שנוצרו על ידי מרכזים אקדמיים, פיננסים ודיפלומטיים. התשתית של ההאקרים דואגת לכך שרק יעדים ספציפיים יותקפו על ידי הנוזקה – מה שמצביע על האופי הממוקד ביותר של הקמפיין".

בסוף ספטמבר השנה חשפו חוקרי Zscaler מתקפה סייבר דומה, בשם Steal-It, שפיתתה קורבנות עם תוכן מיני למבוגרים – בפולין, אוסטריה ובלגיה – כדי לשדל אותם לשתף מידע רגיש.

חוקרי יבמ ציינו כי "ההסתמכות על מסמכים רשמיים כאמצעי פיתוי, מסמנת חריגה מפעילות הקבוצה, כפי שהיא נצפתה בעבר. היא מעידה על המיקוד המוגבר של ההאקרים בקהל יעד ייחודי, כזה שתחומי העניין שלו קשורים למסמכים המזויפים שהופצו – כחלק מהפיתוי להורדת הנוזקה".

מסמך הפיתוי מבנק ישראל. צילום: ההודעה לעיתונות של בנק ישראל