רוסיה תקפה בסייבר שגרירויות זרות במוסקבה

חוקרי מודיעין האיומים של מיקרוסופט חשפו בסוף השבוע שהאקרים רוסים תקפו שגרירויות זרות בבירתה, מוסקבה. שחקן האיום הרוסי Secret Blizzard (סופת שלג חשאית) ערך מסע ריגול בסייבר נגד השגרירויות, בטכניקת "היריב באמצע" (AitM), שבאמצעותה האקרים מהקבוצה חדרו לתשתיות של ספקיות שירותי האינטרנט שלהן, והזריקו נוזקה מותאמת אישית בשם ApolloShadow. לא פורסם בשגרירויות של אילו מדינות מדובר.

החוקרים כתבו כי "ל-ApolloShadow יש את היכולת להתקין אישור מהימן, כדי להערים על מכשירים לבטוח באתרים הנשלטים על ידי שחקנים זדוניים. זה מה שמאפשר ל-Secret Blizzard לשמור על שהייה לאורך זמן במכשירים של דיפלומטים, כשהמטרה היא איסוף מודיעין". במתקפה זו, התוקף ממקם את עצמו "באמצע", בין רשתות או מכשירים, כדי ליירט ולשלוט בתעבורה ביניהם.

ההערכה היא שהפעילות נמשכת מאז השנה שעברה. החוקרים כתבו ש-"הקמפיין מהווה סיכון ביטחוני לדיפלומטים הנסמכים על ספקיות אינטרנט מקומיות או שירותי טלקום ברוסיה".

כנופיה עם שלל שמות

כנופיית Secret Blizzard (לשעבר קריפטון – Krypton) מסונפת לשירות הביטחון הפדרלי הרוסי (FSB), יחידה 16. חוקרים בקהילת אבטחת הסייבר עוקבים אחריה זה זמן. יש לקבוצה זו שלל כינויים נוספים: Blue Python (הפיית'ון הכחול), Iron Hunter (צייד הברזל), Pensive Ursa, כמו גם Snake (נחש), Summit (ועידה), Uroburos ,Turla, וכן Venomous Bear (דוב ארסי) ו-Waterbug (באג מים).

בדצמבר אשתקד, חוקרי מיקרוסופט ולומן חשפו כי חברי הקבוצה משתמשים בתשתית פיקוד ובקרה (C2) של שחקן איום המבוסס בפקיסטן, כדי לבצע התקפות בענן. הקבוצה נצפתה שולחת נוזקות גם של שחקני איום אחרים, כדי לספק את הדלת האחורית של Kazuar במכשירים באוקראינה.

איך המתקפה עובדת?

לפי מיקרוסופט, "המתקפה מתאפשרת על ידי יירוט חוקי – נוזקה שמסוגלת להתקין תעודת שורש אמינה (Trusted Root Certificate), שמתחזה לתעודות של תוכנת האנטי וירוס קספרסקי. זאת, כדי להשיג יותר גישה למערכות הקורבן".

הגישה הראשונית מושגת על ידי הפניית מכשירי יעד לתשתית שנשלטת על ידי האקרים לפורטל מזויף, מה שמוביל להורדה ולהפעלה של נוזקת ApolloShadow. או אז מופעל שירות לגיטימי של Windows, שנותן חיווי על מצב הקישוריות ושקובע אם יש למכשיר גישה לאינטרנט. ברגע שהמערכת פותחת את חלון הדפדפן לכתובת זו, היא מופנית לדומיין נפרד, שנשלט על ידי שחקן האיום ושמציג שגיאת אימות לאישור – ואז הקורבן מתבקש להוריד ולהפעיל את הנוזקה. או אז, היא מביאה מידע מארח לשרת C2. בשלב האחרון, ApolloShadow מציגה למשתמש חלון מוקפץ של בקרת גישה למשתמש (UAC), ומורה לו להעניק לו את ההרשאות הגבוהות ביותר הזמינות למשתמש. נתיב הביצוע של ApolloShadow משתנה ומנצל לרעה יכולת להגדרות שונות, כדי לקבל גישה מתמדת למחשב.

בעבר העריכו במיקרוסופט שהקבוצה פועלת גם בתוך שטח רוסיה, נגד גורמים זרים ומקומיים. כעת, בפעם הראשונה, החברה מאשרת כי לקבוצה יש יכולת לפעול ברמת ספקיות שירותי אינטרנט. כלומר, דיפלומטים שמשתמשים בספקי תקשורת מקומיים ברוסיה נמצאים בסיכון גבוה, כיוון ש-Secret Blizzard פועלת מתוך תשתיות הספקיות עצמן. הקבוצה נעזרת במערכות יירוט התקשורת של רוסיה, כגון SORM (מערכת לפעילות חקירה מבצעית), שלפי ההערכה ממלאות תפקיד מרכזי בפעילות הנוכחית. זאת, בהתחשב בהיקפה הנרחב.

Secret Blizzard השתמשה בעבר בטכניקות דומות כדי להדביק משרדי חוץ באירופה, באמצעות הונאה להורדת מתקין פלאש מזויף משרת שנשלט על ידם.

מיקרוסופט ציינה כי כדי להתגונן מפני פעילות Secret Blizzard, "דיפלומטים הפועלים במוסקבה מתבקשים ליישם את עקרון ההרשאה המינימלית (PoLP), לסקור מעת לעת את הקבוצות המקבלות אישורי גישה פריבילגיים ולנתב את כל התעבורה באופן מוצפן וברשת מהימנה, או להשתמש ב-VPN. חלופה נוספת היא שימוש בספק אינטרנט חלופי – לדוגמה, חיבור לוויני, במדינה שלא שולטת בתשתיות הספק. עוד כדאי להשתמש באימות דו שלבי (MFA) ולבצע בדיקות שוטפות לחשבונות עם הרשאות גבוהות. מומלץ לא להשתמש בחשבונות ניהוליים שיש להם גישה לכל המערכת ולהגביל את כמות המשתמשים שיש להם הרשאות ניהול מקומיות. חשוב לבדוק באופן קבוע קבוצות שיש להן גישה ניהולית גבוהה: תוקפים עלולים להוסיף את עצמם לקבוצות אלה, כדי לשמור על גישה למערכת מבלי להתגלות".