המתיחות בין רוסיה לאוקראינה נמשכת – גם בסייבר
במסגרת מתקפות סייבר של רוסיה על שכנתה, הותקפה גם "ישות ממשלתית מערבית", כך על פי מחקר של פאלו אלטו, שחוקריו מקשרים את המעשים להקבוצה מכונה גאמארדון
קבוצת האקרים, שלדברי אוקראינה נשלטת על ידי המודיעין הרוסי, תקפה בסייבר תוך שהיא מתמקדת במגוון רחב של ארגונים במדינה, כולל "ישות ממשלתית מערבית"; כך על פי מחקר של פאלו אלטו.
הקבוצה מכונה גאמארדון (Gamaredon – או בתרגום חופשי 'דב פרימיטיבי'), והיא מוכרת מאז 2013.
הסכסוך בין רוסיה לאוקראינה גלש לתחום הסייבר במחצית החודש שעבר, כאשר ממשלת אוקראינה הותקפה על ידי נוזקה הרסנית, כשחולשות שונות נוצלו כדי להשחית כמה אתרי אינטרנט של הממשלה.
אמנם ייחוס האירועים הללו עדיין נמשך ואין קשר ידוע לגאמארדון, אך חוקרי ענקית הגנת הסייבר מעריכים שצפויות פעילויות סייבר זדוניות נוספות במהלך השבועות הקרובים, ככל שהקונפליקט בין המדינות יסלים. "קבוצת גאמארדון היא בין האיומים המתקדמים הפעילים ביותר המכוונים כלפי אוקראינה", נכתב בדו"ח של פאלו אלטו.
"ניסיון ספציפי ומכוון לפגוע בארגון מערבי באופן ממוקד"
מאז 2013, ממש לפני סיפוח חצי האי קרים על ידי רוסיה, קבוצת גאמארדון התמקדה בעיקר במבצעי תקיפה נגד פקידי ממשל וארגונים אוקראינים. בשנת 2017 פרסמו חוקרי יחידה 42 של פאלו אלטו את המחקר הראשון שלהם, המתעד את ערכת הכלים המתפתחת של גאמארדון. במהלך השנים ציינו כמה חוקרים, כי הפעולות של קבוצה זו עולות בקנה אחד עם האינטרסים הרוסיים.
קישור שכזה קיבל ביטוי ב-4 בנובמבר 2021, כאשר שירות הביטחון של אוקראינה, ה-SSU, ייחס בפומבי את הנהגת הקבוצה לחמישה קציני שירות הביטחון הפדרלי הרוסי, ה-FSB, שהוקצו לתפקידים ב-קרים. במקביל, SSU פרסם גם דו"ח טכני מעודכן, המתעד את הכלים ואופי הפעילות של קבוצה זו.
לפי חוקרי פאלו אלטו, גאמארדון תקפה ישות ממשלתית מערבית באוקראינה בינואר, אך החוקרים לא נקבו בשמו של המותקף. בחברה אמרו כי הצליחו לעקוב אחר משימת הפריצה הרוסית, על ידי ניתוח של דומיינים זדוניים שונים, שנועדו להדביק מחשבים אוקראינים בנוזקות.
ממציאיה מצביעים על הקשר לגאמארדון. יחידה 42 של פאלו אלטו צילום: פאלו אלטו
"בהתחשב במצב הגיאופוליטי הנוכחי ובמיקוד היעד הספציפי של קבוצת APT זו, יחידה 42 ממשיכה לעקוב באופן פעיל אחר אינדיקטורים לפעילותה של גאמארדון", ציינו החוקרים. "במסגרת זו, זיהינו שלושה אשכולות גדולים של התשתית של הקבוצה, אשר משמשים לתמיכה במטרות פישינג ונוזקות שונות. אשכולות אלו מקשרים ליותר מ-700 דומיינים זדוניים, 215 כתובות IP וליותר מ-100 דוגמאות של נוזקות", המשיכו החוקרים והרחיבו.
במעקב אחר אשכולות אלו, החוקרים הבחינו בניסיון לפרוץ ליישות ממשלתית מערבית באוקראינה, ב-19 בינואר השנה. "זיהינו גם פעילות פוטנציאלית של בדיקת נוזקות ושימוש חוזר בטכניקות היסטוריות, הכוללות תוכנת רשת וירטואלית בקוד פתוח, VNC", סיכמו. "בהינתן השלבים והגישה המדויקת שנצפו בקמפיין הזה, נראה שזה היה ניסיון ספציפי ומכוון לפגוע בארגון מערבי באופן ממוקד".
תגובות
(0)