משתמשי אאוטלוק ואופיס – על הכוונת של האקרים רוסים

קבוצת ההאקרים הרוסיים גמארדון פיתחה כלים חדשים לתקיפת משתמשי אופיס ואאוטלוק מבית מיקרוסופט, כך גילו חוקרי ESET.

קבוצת גמראדון הם האקרים שלוחי המודיעין הרוסי וקבוצות פרו-רוסיות, הפעילה מאז 2013. אחת מפעולותיה העיקריות היא ריגול בסייבר ואיסוף מודיעין על כוחות צבא אוקראינים. במהלך המלחמה בין רוסיה לאוקראינה בעשור הקודם, הקבוצה תקפה אלפים רבים ברחבי אוקראינה, תוך התמקדות מיוחדת באזורים בהם פרוסים חיילים אוקראינים. עוד ידועה הקבוצה בכינוי "הדוב הפרימיטיבי".

בעבר, ההאקרים נהגו להשתמש במתקפות שלהם בכלי מדף. על פי ESET, באחרונה התגלו כמה כלים המשמשים את קבוצת גמארדון בקמפיינים הזדוניים שלהם. הכלי הראשון מכוון את מתקפותיו אל Microsoft Outlook, באמצעות יצירת פקודות מותאמות אישית בשפת התכנות ויז'ואל בייסיק (VBA) – אשר מאפשרות לתוקפים להשתמש בחשבון הדוא"ל של הקורבן כדי לשלוח הודעות דיוג ממוקד (spearphishing) לאנשי הקשר בפנקס הכתובות. כך, הקורבן מקבל מייל זדוני מאדם שהוא מכיר לכאורה, וסומך עליו, דבר המגדיל את הסבירות לפגיעה. שימוש בפקודות מאקרו של Microsoft Outlook היא שיטת תקיפה שהחוקרים נתקלים בה לעיתים רחוקות מאוד.

הכלי השני שמשמש את הקבוצה מחדיר פקודות מאקרו לתבניות של מסמכי וורד ואקסל. שני הכלים תוכננו על מנת לעזור לתוקפים להתפשט לנקודות רבות ככל האפשר ברשתות אליהן הם פרצו.

על הכוונת של הרוסים. אאוטלוק ואופיס של מיקרוסופט. צילום אילוסטרציה: BigStock

לדברי ז'אן-יאן בוטין, מנהל חקר האיומים ב-ESET, "הקבוצה הזו הגבירה את פעילותה בחודשים האחרונים. אנו רואים גלים של הודעות דוא"ל זדוניות, המגיעות לתיבות הדוא"ל של קורבנותיה באופן קבוע. הקבצים המצורפים להודעות דוא"ל אלו הם מסמכים הכוללים פקודות מאקרו זדוניות, שמנסות להוריד כמות גדולה של נוזקות מסוגים שונים – לאחר הפעלתן".

החוקרים הסבירו כי כלי התקיפה החדשים שהתגלו מזריקים פקודות מאקרו, או הפניות מאקרו, לתבניות מרוחקות – לקבצים הקיימים במערכת שהותקפה. "זו דרך יעילה מאוד להתפשטות ולתנועה בתוך רשת של ארגון", הסבירו, "שכן העובדים משתפים מסמכים אחד עם השני באופן תדיר. בנוסף, הודות לפונקציונליות מיוחדת שמסוגלת לשנות את הגדרות האבטחה של פקודות המאקרו של אופיס, המשתמשים שהותקפו כלל אינם מודעים לכך שכל פתיחת מסמך חושפת את תחנות העבודה שלהם למתקפה".

עוד ציינו החוקרים כי הקבוצה משתמשת בדלתות אחוריות ובתוכנות לגניבת קבצים, כדי לזהות ולאסוף מסמכים רגישים במערכת שאליה פרצו, ומעלה אותם לשרת השליטה והבקרה הנמצא בשליטת הקבוצה. בנוסף, תוכנות גניבת הקבצים האלו מסוגלות להריץ קוד זדוני שנמצא בשרת השליטה והבקרה – לפי בחירתם. כלי התקיה, ציינו, הם זנים שונים של: Win32/Pterodo, MSIL/Pterodo, ו-Win64/Pterodo.

על פי חוקרי ESET, "יש הבדל חשוב אחד בין גמארדון ובין קבוצות APT אחרות: תוקפיה של קבוצה זו עושים מאמצים מזעריים, אם בכלל, על מנת להסתיר את עצמם. למרות שהכלים שברשותם מסוגלים להשתמש בטכניקות חמקניות ביותר, נראה כי המטרה העיקרית של הקבוצה היא להתפשט מהר ורחוק ככל האפשר ברשת הקורבן, בזמן שהם מנסים לגנוב מידע ומסמכים במהירות הגבוהה ביותר".

"על אף ששימוש בתיבת דוא"ל שנפרצה לשליחת הודעות דוא"ל זדוניות בלא הסכמת הקורבן היא ממש לא טכניקה חדשה", סיכם בוטין, "אנו מאמינים שזהו המקרה המתועד הראשון של קבוצת תקיפה שמשתמשת בקובץ OTM ובפקודות מאקרו של אאוטלוק כדי להגיע למטרה הזו".