מרגלים בסייבר השיקו גל מתקפות נגד ממשלות בעולם

קבוצת ריגול בסייבר מתוחכמת בשם טומיריס (Tomiris) השיקה גל חדש של מתקפות נגד גופים ממשלתיים ודיפלומטיים ברחבי העולם, כך לפי מחקר חדש של קספרסקי (Kaspersky).

הקמפיין מכוון במיוחד למשרדי חוץ, ארגונים בין-ממשלתיים וסוכנויות ממשלתיות. "הקבוצה מתמחה בזריעת הרס", ציינו החוקרים.

החוקרים הבחינו כי "התוקפים מתמקדים כיום במטרות פוליטיות בעלות ערך גבוה, במיוחד ברוסיה ובמדינות מרכז אסיה, כמו טורקמניסטן, קירגיזסטן, טג'יקיסטן ואוזבקיסטן". לדבריהם, "הגילוי המדאיג ביותר הוא השינוי באסטרטגיה של טומיריס: חברי הקבוצה החלו להשתמש בשירותים ציבוריים פופולריים ולגיטימיים, במיוחד טלגרם ודיסקורד, כדי לשלוט בנוזקה שלהם".

על ידי ניתוב הפקודות דרך אפליקציות נפוצות אלו, ההאקרים מסתירים את פעילותם בתוך תעבורת אינטרנט רגילה, מה שמקשה מאוד על תוכנות האבטחה המוטמעות אצל הקורבנות – לזהות את הפריצה. "המתקפות הללו מדגישות שינוי בולט בטקטיקות של טומיריס", ציינו מחברי הדו"ח, "גישה זו משקפת את הרצון של ההאקרים לשלב תעבורה זדונית עם פעילות שירות לגיטימית – כדי להימנע מזיהוי".

לפי חוקרי קספרסקי, הקבוצה שדרגה משמעותית את ארגז כלי הפריצה שלה בתחילת השנה, וכעת היא עושה שימוש בכלים זדוניים חדשים, "שנועדו לגנוב מידע פוליטי רגיש – תוך התחמקות מגילוי".

המתקפות מתחילות כמעט תמיד במייל פישינג. אלה מעוצבים בקפידה כדי להיראות רשמיים, ולעיתים נשלחים מכתבים מתחזים, בנוגע לפיתוח כלכלי, או שיתוף פעולה אזורי. המיילים מכילים קובץ ארכיון מוגן בסיסמה (ZIP או RAR). כיוון שהקובץ מוגן בסיסמה, מערכות האבטחה הסורקות את התעבורה והמסמכים לא יכולות לפתוח אותם לפעמים כדי לבדוק האם הם כוללים וירוסים. ברגע שהקורבן פותח את הקובץ ולוחץ על המסמך שבתוכו – המחשב שלו נדבק. התוקפים פיתחו "שתלים" – נוזקות שנכתבו בשפות תכנות שונות, בהן C++, Rust, Go ו-Python. מגוון הזה מקשה על בניית הגנה אחודה נגד נוזקות שונות.

לאחר שההאקרים נכנסים לרשת הקורבן, הם מפעילים כמה כלים:

Tomiris Rust Downloader: כלי שסורק את מחשב הקורבן אחר קבצים ספציפיים ושולח את רשימת הקבצים לשרת דיסקורד הנשלט על ידי ההאקרים;

Python ו-Telegram Backdoors: כלים אלה יוצרים דלת אחורית דיגיטלית, שמאפשרת להאקר להקליד פקודות במחשב שלו ולגרום להן לבצע אותן במחשב הקורבן. כדי לשלוח ולקבל את הפקודות, ההאקרים משתמשים בבוטים של טלגרם;

FileGrabbers: תוכנות מיוחדות שנועדו לקצור מסמכים ולהביא אותם לתוקפים.

במקרים רבים, ציינו החוקרים, "לאחר שההדבקה הראשונית מצליחה, ההאקרים מורידים מסגרות תקיפה בקוד פתוח, שהן חזקות יותר, כמו "Havoc" ו-"AdaptixC2", כדי להשיג שליטה מלאה במערכות הקורבן".

החוקרים הוסיפו, כי "הקמפיין ממוקד באופן משמעותי. יותר ממחצית מהמיילים של הפישינג נכתבו ברוסית, מה שמרמז על התמקדות באזור מדינות ברית המועצות לשעבר. לצד זאת, המורכבות של הכלים מרמזת על איום על התשתיות הדיפלומטיות ברחבי העולם".

מומחי אבטחה המליצו לאוכלוסיית היעד שבסיכון, עובדי ממשלה – "להישאר ערניים כלפי מיילים לא מזוהים או כאלה שהגיעו בהפתעה, במיוחד כאלה שדורשים סיסמה לפתיחת קובץ מצורף. ארגונים מתבקשים לעקוב  אחר תעבורת רשת עבור חיבורים חריגים לשירותים, כמו דיסקורד וטלגרם – שמגיעים ממערכות פנימיות קריטיות".

חוקרי ענקית האבטחה הרוסית לא ציינו את זהותם הלאומית של התוקפים, שהם ככל הנראה רוסים. "אנו בטוחים מאוד שכל הכלים הללו שייכים לקבוצת טומיריס", סיכמו החוקרים, "הקמפיין שלהם עושה שימוש במודולי נוזקות רב-לשוניים, כדי לשפר את הגמישות התפעולית ולהימנע מזיהוי. המטרה העיקרית היא להקים גישה מרחוק למערכות היעד ולהשתמש בהן כנקודת אחיזה לפריסת כלים נוספים. ההתפתחות בטקטיקות מדגישה את המיקוד של שחקן האיום בהסתרה, המתאפיין בהתמדה ארוכת טווח ובמיקוד אסטרטגי של הממשלה וארגונים בין-ממשלתיים".