רוסיה תקפה בסייבר ארגונים באוקראינה ובאיחוד האירופי

קבוצת ההאקרים הדוב המהודר, המזוהה עם רוסיה, ניצלה פגיעות שנחשפה באחרונה בתוכנת אופיס של מיקרוסופט כדי לבצע מתקפות סייבר נגד ארגונים אוקראינים ומהאיחוד האירופי.

צוות התגובה לאיומים והחירום בסייבר של אוקראינה, CERT-UA, פרסם היום (ב') אזהרה בנושא. האזהרה משייכת את התקיפה לקבוצת APT28, היא קבוצת הדוב המהודר (Fancy Bear).

מערך הסייבר האוקראיני דיווח ב-29 בינואר על קובץ וורד בשם Consultation_Topics_Ukraine Final.doc. הקובץ הכיל ניצול של CVE-2026-21509 – פגיעות בדרגת חומרה גבוהה של 7.8. זו השפיעה על כמה גרסאות של מיקרוסופט אופיס: 2016 ו-2019, כמו גם LTSC 2021, LTSC 2024 ו-Microsoft 365 Apps for Enterprise. ניצול החולשה על ידי התוקפים מאפשר להם לעקוף אמצעי הגנה במיקרוסופט 365 ובאופיס.

מה עושים?

מיקרוסופט דיווחה על החולשה ב-26 בינואר. הענקית מרדמונד אישרה בהודעת האבטחה שלה כי זיהתה ראיות לניצול החולשה בפועל על ידי האקרים. היא קראה לארגונים שמריצים את Microsoft Office 2016 ו-2019 לוודא שהעדכון הותקן – כדי להיות מוגנים. לקוחות שמריצים את Office 2021 ואילך יהיו מוגנים אוטומטית, אך יידרשו להפעיל מחדש את בקשות אופיס שלהם, כדי שהעדכון ייכנס לתוקף.

"היקף המתקפות צפוי לגדול"

גוף הגנת הסייבר האוקראיני ציין כי "לאור העיכוב הצפוי, או חוסר היכולת של המשתמשים לעדכן את מיקרוסופט אופיס או ליישם אמצעי אבטחה מומלצים, היקף מתקפות הסייבר המנצלות את הפגיעות הזו צפוי לגדול".

חוקרי מערך הסייבר של הממשלה בקייב הצליחו לאתר את השרת שהחולשה ניצלה ואת הקורבנות של קבוצת דוב מהודר, שהיו קשורים להתייעצויות של ועדת הנציגים הקבועים (COREPER) של האיחוד האירופי בנוגע למצב באוקראינה.

איך ההאקרים פעלו?

המטא-דאטה הצביעה על כך שהקובץ נוצר בבוקר ה-27 בינואר, יום לאחר גילוי הפגיעות על ידי מיקרוסופט. באותו היום, CERT-UA דיווח שקיבל עדכונים משותפים על מייל, שלכאורה הגיע ממרכז ההידרו-מטאורולוגיה האוקראיני (UkrHMC), שכולל קובץ נוסף בשם BULLETEN_H.doc. המייל שכלל את קובץ זה נשלח ליותר מ-60 כתובות, שרובן שייכות לגופי ממשלה מרכזיים באוקראינה.

ניתוח נוסף של CERT-UA גילה שפתיחת המסמך באמצעות מיקרוסופט אופיס הפעילה חיבור רשת למשאב חיצוני, דרך פרוטוקול WebDAV, ולאחריו הורדה של קובץ שהתחזה לקיצור דרך (LNK), אשר הכיל נוזקה שנועדה להורדה ולתקיפה. בסופה של שרשרת פעולות התקיפה, ההאקרים קיבלו את התוצאה שביקשו: הזרקת הנוזקה באמצעות טכניקה שנקראת "חטיפת COM – מודל אובייקט רכיב". אז מופעלת מסגרת Covenant על המערכת שנפגעה. Covenant היא מסגרת פיקוד ושליטה (C2) מבוססת NET., שמיועדת לתרגילי סייבר התקפיים ותרגילים של "צוות אדום".

CERT-UA הדגיש כי "כיוון ש-Covenant נסמכת על שירות האחסון הענן הלגיטימי Filen לתשתית הפיקוד והבקרה, ארגונים הסבורים שהם עלולים להיות יעד למתקפה של דוב מהודר צריכים לחסום או לעקוב מקרוב אחר אינטראקציות רשת הקשורות לשירות זה".

בסוף ינואר 2026 זוהו שלושה מסמכים נוספים עם אותו ניצול, שכוונו לארגונים במדינות האיחוד האירופי.

גוף הגנת הסייבר האוקראיני קרא ליישם את אמצעי העדכון שפורטו בייעוץ של מיקרוסופט, במיוחד בנוגע להגדרות רישום של Windows.

מתקפות קודמות של קבוצת דוב מהודר

בנובמבר האחרון חוקרי גוגל גילו זן חדש של נוזקות, שמופעלות על ידי בינה מלאכותית. הנוזקות הללו משתמשות במודלי שפה גדולים (LLMs) כדי ליצור באופן דינמי סקריפטים זדוניים ולהתחמק מזיהוי. החוקרים מצאו שקבוצת דב מהודר הרוסית ניצלה את החולשות הללו והשתמשה ב-PromptSteal למתקפה באוקראינה.

במאי אשתקד חשפו חוקרי ESET את מבצע RoundPress – מתקפת סייבר שבוצעה על ידי קבוצת דוב מהודר, הפעם תחת שם אחר שלה, Sednit. ההאקרים גנבו נתונים סודיים, בעיקר מגופים ממשלתיים וחברות ביטחוניות במזרח אירופה, לצד גופי ממשל באפריקה, אירופה ודרום אמריקה.

הביון האמריקני ציין את קבוצת דוב מהודר כאחת האחראיות לפריצה לוועדה הדמוקרטית הלאומית (DNC), לפני הבחירות בארצות הברית ב-2016. הקבוצה עומדת גם מאחורי הפריצה לרשת הטלוויזיה הצרפתית TV5Monde, דליפת המיילים של הסוכנות העולמית למלחמה בסמים, ה-WADA, ומתקפות סייבר רבות אחרות.