האקרים רוסים תוקפים בסייבר פקידים בכירים במערב

קבוצת האקרים הקשורה לביון הרוסי הרחיבה באחרונה את המתקפות שלה על פקידי ממשל במערב, כך לפי חוקרי האיומים של גוגל, TAG.

הקבוצה, הידועה בשם כוכב סופת שלג (Star Blizzard), או Coldriver – על שם מוזיקאי או נהר קר, או Calisto, או UNC4057 – מקושרת לשירות הביון הרוסי FSB – היורש של הקג"ב. היא ידועה בהתמקדות במסעות דיוג, שמטרתם להשיג אישורי כניסה לארגונים לא ממשלתיים בעלי פרופיל גבוה, קציני מודיעין וצבא לשעבר וממשלות – כולם.ן של מדינות חברות נאט"ו. מטרת הקבוצה היא ריגול.

חודש לאחר הפלישה הרוסית לאוקראינה, חוקרי גוגל דיווחו כי חברי הקבוצה תקפו כמה ארגונים לא-ממשלתיים וצוותי מחקר וחשיבה בארה"ב, גופים צבאיים במדינה מאזור הבלקן וקבלן ביטחון מאוקראינה.

בדצמבר 2023, NCSC, המרכז הלאומי לאבטחת סייבר בבריטניה, הודיע כי הקבוצה עומדת מאחורי קמפיין סייבר מתמשך, שמטרתו התערבות בפוליטיקה ובתהליכים הדמוקרטיים של בריטניה.

Google TAG warns that Russian COLDRIVER APT is using a custom backdoor https://t.co/50pH0lySUJ #ProtectTheClick pic.twitter.com/7mT9LwGdiA

— Cheechako (also on Spoutible) (@dantechservices) January 18, 2024

מדיוג – למשלוח והפצת נוזקות

באחרונה, חוקרי האיומים של גוגל הבחינו כי חברי Coldriver עברו מדיוג, שנועד להשגת אישורים – למשלוח והפצת נוזקות, המסוגלות לחלץ מידע רגיש מהקורבנות. ההאקרים מתחזים לעתים קרובות לבעלי חשבונות, וממצבים עצמם כמומחים בתחום מסוים, כדי ליצור קרבה עם המטרה לפני שליחת קישור לדיוג, שנועד לגנוב את האישורים שלהם. לעתים הם שולחים מסמכי PDF תקינים, ומבקשים משוב על המאמר. כשהנמען פותח את ה-PDF, הוא רואה טקסט מוצפן לכאורה. אז הוא משיב שאינו יכול לקרוא את המסמך וההאקרים שולחים לו את מה שהוא כביכול "כלי פענוח", המכיל דלת אחורית בשם SPICA. זו מעניקה להאקרים גישה למערכות הקורבן. 

לפי חוקרי גוגל, "אנו מאמינים כי SPICA היא הנוזקה המותאמת אישית הראשונה שפותחה על ידי קבוצת Coldriver". הם הוסיפו כי הנוזקה תומכת בכמה פקודות הקשורות לחילוץ נתונים – יכולת להעלות ולהוריד קבצים ולאסוף מידע על מערכת וקבצים, בין היתר – וכי ישנן כמה גרסאות של הדלת האחורית, כל אחת עם מסמך פיתוי שונה, מותאם אישית לקורבנות.

החוקרים ציינו כי הבחינו שחברי הקבוצה פורסים את הדלת האחורית מאז ספטמבר 2023, ולהערכתם, הם עושים בה שימוש לפחות מאז נובמבר 2022.

עוד ציינו החוקרים כי "לפי שעה, הכלי נמצא עדיין בשימוש מוגבל מאוד וממוקד, ופעל רק נגד מספר קטן מאוד של מטרות".

בדצמבר 2023 משרד המשפטים האמריקני הגיש כתבי אישום נגד שניים מחברי הקבוצה, אחד מהם היה קצין ב-FSB, בגין פריצה לרשתות בארה"ב, בריטניה, מדינות נאט"ו ואוקראינה – מעשים שנעשו מטעם ממשלת רוסיה.

ב-2022, הקבוצה כיוונה שורת מתקפות כנגד מעבדות מחקר גרעיני בארה"ב, וגם עמדה מאחורי מבצעי פריצה והדלפה שכוונו לתומכי ברקזיט בעלי פרופיל גבוה בבריטניה.