האקרים רוסים תקפו אורחי מלונות בשבע מדינות באירופה

על פי חוקרי FireEye, "רוסיה עוסקת בפעילויות פריצה מרחיקות-לכת, המכוונות לממשלות, לארגונים עסקיים ולמסעות בחירות, לרבות הקמפיין הכושל של הילארי קלינטון לבית הלבן בשנה שעברה"

חופשה מהסרטים. צילום: boscorelli/BigStock

קבוצת האקרים, שהם ככל הנראה בעלי קשר למודיעין הצבאי הרוסי, תקפה בקמפיין ריגול מקוון אורחים בבתי מלון בשבע מדינות באירופה בחודש שעבר, כך על פי FireEye.

קבוצת המרגלים המקוונים, המכונה APT 28, ביקשה לגנוב אישורי סיסמה של עובדי ממשלות במערב, כמו גם של אנשי עסקים, המשתמשים ברשתות Wi-Fi של בתי מלון. מטרת הגניבות הייתה להדביק בנוזקות וברוגלות את הרשתות הארגוניות של עובדים אלה, כאשר ישובו מהמלונות למקום מגוריהם.

גל המתקפות התחולל בשבוע הראשון של חודש יולי, והתמקד בכמה נוסעים במלונות של לפחות שבע ממדינות באירופה ומדינה אחת במזרח התיכון. ממצאים ראשוניים אלה של ענקית האבטחה מעלים כי "רוסיה עוסקת בפעילויות פריצה מרחיקות-לכת, המכוונות לממשלות, לארגונים עסקיים ולמסעות בחירות, לרבות הקמפיין הכושל של הילארי קלינטון לבית הלבן בשנה שעברה".

כמה ממשלות וחברות אבטחת מידע קשרו בעבר את APT 28 ל-GRU, סוכנות המודיעין הצבאי של רוסיה. חוקרים אחרים לעומתם, עקבו אחר אותו דפוס של מתקפות, אך הפסיקו לקשר את APT 28 לרוסיה. מוסקבה מכחישה בתוקף את ההאשמות.

בנג'מין ריד, מנהל מרכז הניתוח לריגול בסייבר, FireEye, אמר כי "המאפיינים הדומים בפעילות של המתקפות: הניצול הטכנולוגי של פרצות, לצד שרשרת הפיקוד לשליטה מרחוק – מצביעים בבירור כי זו קבוצה APT 28, שיש לנו תיעוד רחב היקף ומפורט על פעילותה מאז 2014". לדבריו, "אנו בטוחים למדי בהערכתנו. הסיבה לכך שהחקירה הטכנית נמצאת רק בתחילתה – היא שעדיין אין לנו אקדח מעשן".

לנוע בשקט ובהסתר ברשתות של ארגונים

קמפיין הריגול האחרון זוהה וסוכל בשלב נסיונות החדירה הראשוניים. אבל החוקרים ציינו כי בשיטות פריצה דומות הם השתמשו בסתיו 2016 בבתי מלון באירופה, והצליחו לפרוץ את המחשב של עובד מדינה אמריקני. העובד חזר לארצות הברית והזיהום התפשט בסוכנות בה עבד, כאשר הוא חיבר את מחשבהו האישי לרשת הארגונית. הסוכנות סירבה אז להגיב על ההתקפה, או לפרט את ההיקף שלה ואת מידת הנזק שהיא גרמה.

חוקרי FireEye מצאו כי במתקפות שאירעו בחודש שעבר, ההאקרים הרוסים שלחו הודעות דואר אלקטרוני של פישינג, שנועדו להערים על עובדי המלון – כך שהם יורידו מסמך הנחזה להיות הזמנת חדר. בעת הורדת המסמך, מותקנת במחשב נוזקה מסוג Gamefish. זו מופעלת מרחוק מאתרי אינטרנט, אשר מוכרים ככאלה הנמצאים בשליטה של קבוצת APT 28.

דריסת רגל זו נתנה להאקרים שליטה על רשתות Wi-Fi של אורחים במלונות, והייתה עלולה לסייע להם לקבל סיסמאות של קורבנות שנבחרו כיעדים, ואז לקבל נתונים לא מוצפנים, המועברים לכונני רשת משותפים שבמלונות.

המתקפות של יולי ניצלו את פיסת הנוזקה המכונה EternalBlue, שנחשד כי נגנבה מה-NSA, הסוכנות לביטחון לאומי של ארצות הברית. זו מאפשרת להאקרים דרך מתוחכמת מאוד לנוע בשקט ובהסתר ברשתות של ארגונים – ברגע שהם הצליחו להדביק רכיב רשתי אחד.

EternalBlue הייתה אחד הגורמים שסייעו להתפשטות של הכופרה WannaCry בחודש מאי ברחבי העולם ואת המתקפה NotPetya שכוונה נגד אוקראינה בחודש יוני, והסבה נזק לעשרות חברות ברחבי העולם.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים