האקרים מהביון הרוסי תוקפים מכשירי קצה של חברות מערביות

קמפיין סייבר זדוני, המבוצע בחסות רוסיה, שתקף במשך שנים ארגוני תשתית קריטית במדינות המערב, שינה את הטקטיקות שלו: הוא עבר מניצול פגיעויות – לפגיעה במכשירי הקצה של לקוחות, שהוגדרו בצורה שגויה; כך לפי חוקרי מודיעין האיומים של אמזון (Amazon Threat Intelligence).

בדו"ח חדש שהחוקרים הוציאו שלשום (ב') הם ציינו, כי שחקן האיום עדיין לא זוהה, אך למרות זאת הם מייחסים אותו "בוודאות רבה" לסוכנות הראשית למודיעין צבאי של רוסיה, GRU, שקשורה לכמה קבוצות איומי סייבר.

חוקרי האבטחה של אמזון הבחינו בקבוצה בלתי מזוהה זו, המכוונת לתשתיות גלובליות בין 2021 ל-2025. היעדים האופייניים של קבוצת ההאקרים היו ארגוני אנרגיה במדינות המערב, ספקי תשתיות קריטיות בצפון אמריקה ובאירופה וארגונים המתארחים בענן. חלק מהקמפיינים הקודמים של הקבוצה כללו ניצול פגיעויות במערכות ספקית הגנת הסייבר WatchGuard, אלו של Confluence, וכן ב-Veeam.

אלא שהשנה חוקרי אמזון שמו לב, שהקבוצה שינתה את הטקטיקות שלה של ניצולי פגיעויות. כעת חבריה מעדיפים להתמקד במכשירי הקצה של לקוחות, שמוגדרים בצורה שגויה. מדובר ברכיבי מחשוב שבחלקם גם מאוחסנים בענן AWS של ענקית המסחר המקוון – כדי לקבל גישה ראשונית למערכות הקורבן.

החוקרים של אמזון הדגישו, כי ההגדרות השגויות במכשירים הן בצד הלקוח ולא בתשתית הענן של AWS. לפי החוקרים, ההאקרים מתמקדים בכמה יעדים טיפוסיים: נתבים ארגוניים ותשתיות ניתוב; מערכות VPN ושערי (מבואות) גישה מרחוק; מכשירי ניהול רשת; שיתופי פעולה ופלטפורמות ויקי; מערכות ניהול פרויקטים מבוססות ענן.

"התאמה זו מאפשרת להאקרים להשיג אותן תוצאות תפעוליות: גישה מתמשכת לרשתות תשתית קריטיות, איסוף אישורים, ומעבר רוחבי לשירותים ולתשתיות המקוונות של ארגוני הקורבנות. זאת, תוך הפחתת החשיפה וההוצאה של המשאבים שלהם", ציינו חוקרי אמזון.

טקטיקות נוספות שנצפו אצל חברי הקבוצה, כוללות איסוף אישורים מתשתיות שנפרצו, כדי לבצע התקפות חוזרות באופן עקבי נגד שירותי האינטרנט של הקורבנות הארגוניים.

החוקרים העריכו כי "ככל הנראה, מדובר בחלק מקמפיין של GRU שהוא רחב יותר". החוקרים ציינו כי הייחוס ל-GRU הרוסי מבוסס על חפיפות של תשתיות, עם פעולות קודמות הקשורות לקבוצת איום נוספת הקשורה ל-GRU, הידועה גם בשמות, Sandworm (תולעת חול), APT44 ו-Seashell Blizza (סופת שלגים של צדף).

הקמפיין האחרון מכיל גם חפיפות ברמת התשתית עם קבוצה שחברת אבטחת המידע הרומנית Bitdefender עוקבת אחריה ומכנה אותה Curlly COMrades. לפי ביטדיפנדר, מבצע שחוקריה תיעדו ב-4 בנובמבר השנה חשף את חברי הקבוצה מנצלים לרעה את Hyper-V של מיקרוסופט, שהוטמע בקרב חלק מהקורבנות – על מנת להתחמק מפתרונות זיהוי ותגובה בנקודות קצה (EDR). עוד נצפו חבריה נפו פורסים אצל הקורבנות שני שתלים מותאמים אישית: CurlyShell ו-CurlCat.

"אנו מעריכים שאלו עשויים לייצג פעולות משלימות, במסגרת קמפיין רחב יותר של GRU", כתבו חוקרי אמזון, "במסגרתו,  אשכול אחד מתמקד בגישה לרשת ובפריצה ראשונית, בעוד אשכול אחר מטפל בהתמדה ובהתחמקות", כתבו החוקרים מאמזון.

"דפוס פעולה זה מתיישר עם דפוסי הפעולה של GRU, של תת-אשכולות מיוחדים, התומכים במטרות רחבות יותר של הקמפיין", סיכמו החוקרים.