קבוצת האקרים רוסית הפכה נתבי אינטרנט לתשתית ריגול עולמית

קבוצת ההאקרים APT28, שפועלת בחסות רוסיה, ערכה בחודשים האחרונים מסעות תקיפה בסייבר שכללו שילוב של פגיעה בתשתיות תקשורת וניצול נקודות קצה. זאת, לטובת איסוף מודיעין ושיבוש של מערכות קריטיות – כך לפי מחקר חדש של סקפוד (SecPod).

לפי NCSCS, המרכז הלאומי לאבטחת סייבר בבריטניה, חברי APT28 ניצלו נתבים כדי לשנות ("לדרוס") הגדרות של DNS, ואז להפנות את התעבורה דרך שרתי DNS שבשליטה שלהם. כך הם מאפשרים התקפות מסוג "אויב באמצע" (AitM), שאוספות סיסמאות, אסימוני זיהוי ופרטי אישורים אחרים של שירותי אינטרנט ודוא"ל. במרכז אמרו כי "זה מעמיד ארגונים בסיכונים לגניבת אישורים, מניפולציה של נתונים ופריצה רחבה יותר… חטיפת ה-DNS באופן אופורטוניסטי מכוונת להיקף רחב של קורבנות, על מנת לאתר קורבנות בעלי ערך מודיעיני בכל שלב בשרשרת הניצול".

חוקרי סקפוד ציינו כי "קבוצת APT28 מנהלת קמפיין רחב היקף של חטיפת DNS באמצעות ניצול של פגיעויות בנתבי אינטרנט מתוצרת TP-Link ו-MikroTik. לאחר החדירה לנתבים, התוקפים משנים את הגדרות ה-DNS במכשירים הנגועים כדי להעביר תעבורת רשת לשרתים שבשליטתם, לטובת גניבה של סיסמאות ופרטי משתמשים". לפי החוקרים, "יותר מ-18 אלף כתובות IP במעל 120 מדינות תקשרו עם תשתית התוקפים. המשמעות: ההאקרים השתלטו על כ-20 אלף נתבי אינטרנט". לפי המחקר, "המבצע שובש חלקית באמצעות מאמץ משותף של גופי אכיפת חוק".

במקביל לתקיפת הנתבים, חוקרי סקפוד זיהו קמפיין סייבר נוסף של קבוצת התקיפה הרוסית: דיוג ממוקד (דיוג חנית, Spear Phishing), שמפיץ את חבילת הנוזקות PRISMEX. "המתקפה מנצלת שתי פרצות יום אפס חדשות במוצרי מיקרוסופט: CVE-2026-21509 בערכה של אופיס ו-CVE-2026-21513 במערכת ההפעלה Windows. הנוזקות מסתירות מטען זדוני בתמונות ומנצלות שירותי ענן לגיטימיים לצורך תקשורת, פיקוד ושליטה", כתבו.

לפי המחקר, "היעדים המרכזיים של קבוצת התקיפה בסייבר הרוסית כוללים סוכנויות ממשלתיות, ארגונים ממגזרי ההגנה והלוגיסטיקה, וארגונים המזוהים עם ברית נאט"ו ואוקראינה".

מה כדאי לארגונים לעשות?

חוקרי סקפוד כללו במחקרם שורת המלצות לארגונים: התקנה של עדכוני אבטחה מיידיים ל-Windows ולאופיס; התקנת עדכון קושחה בנתבי TP-Link ו-MikroTik; שינוי סיסמאות ברירת מחדל וביטול שירותי ניהול מרחוק בנתבים; חסימה של הרצת קובצי LNK. ממקורות חשודים ב-Windows; וניטור הגדרות DNS בנקודות הקצה.

ליאור לוי, מנכ"ל ומייסד פרולוג'יק. צילום: נדב כהן יונתן

"מחקר קריטי לשוק הישראלי"

פרולוג'יק מייצגת את סקפוד בישראל. ליאור לוי, מנכ"ל ומייסד פרולוג'יק, ציין כי "המחקר קריטי לשוק הישראלי: הוא חושף ניצול של תשתיות תקשורת המצויות במשרדים ובתים רבים בישראל. השימוש בטכניקות הללו למתקפות סייבר בעולם לא פוסח על המשק הישראלי, שמתמודד עם איומי מדינה שמשלבים פרצות יום אפס והנדסה חברתית. הבנת טקטיקות אלה חיונית לחיזוק חוסן הארגונים המקומיים מול איומי ייחוס דומים, ובדגש על תחום זיהוי הפגיעויות וחסימתן – באמצעות ניהול של תחום עדכוני האבטחה".

APT28 על קצה המזלג

קבוצת הפריצה PT28 נודעת גם בשמות סטרונציום (על שם היסוד הכימי Strontium), דוב מהודר (Fancy Bear), סופת שלגים ביער (Forest Blizzard), דמדומי ברזל (Iron Twilight), אגם קפוא (FROZENLAKE), וכן Sednit ,Sofacy ו-TA422. חוקרי יבמ מכנים אותה ITG05.

APT28 הייתה אחת מקבוצות ההאקרים שעמדו מאחורי הפריצה לשרתי המייל של המפלגה הדמוקרטית והדלפת המיילים, במטרה לסייע לדונלד טראמפ לנצח בבחירות לנשיאות ארצות הברית ב-2016. בסוף 2017 פורסם כי הקבוצה ניסתה לפרוץ לחשבונות הג'י-מייל של יותר מ-200 כתבים, מו"לים ובלוגרים – מאמצע 2014 ועד ל-2017. מדובר בעיתונאים שמפריעים למשטר הרוסי, ומטרת התקיפה הייתה לרגל אחריהם. ב-2018 ה-FBI קבע כי הקבוצה עמדה מאחורי ההדבקה של יותר מחצי מיליון נתבים ביתיים ב-54 מדינות. היא גם קשורה לחדירות למערכות של הסוכנות הבינלאומית למלחמה בסמים, של הפרלמנט הגרמני, הבונדסטאג, ושל תחנת הטלוויזיה הצרפתית TV5Monde. עוד הם ניסו לתקוף את הארגון לאיסור נשק כימי באפריל 2018, במטרה לשבש ניתוחי מודיעין בריטיים.

חברי APT28 פועלים ביחידת המודיעין הצבאית 26165 של מרכז השירות המיוחד הראשי ה-85 של המודיעין הצבאי הרוסי (GRU).