רוסיה לא מרפה: האקרים ניסו לפרוץ לחברת זיקוק נפט באירופה

קבוצת האקרים רוסית, או שקשורה לרוסיה, ניסתה בסוף אוגוסט השנה לחדור למערך ה-IT של חברת זיקוק נפט במדינה באירופה שחברה בנאט"ו – כך לפי מחקר חדש של פאלו אלטו. לא נמסר שמה של אותה המדינה.

לפי חוקרי Unit 42, גוף המודיעין של ענקית הגנת הסייבר, ניסיון החדירה, שנראה שלא צלח, התרחש ב-30 באוגוסט, והתבצע באמצעות משלוח מיילים מסוג דיוג חנית (Spear phishing). המיילים כללו קבצים בשפה האנגלית והכילו מילים כמו "סיוע צבאי".

חוקרי המודיעין עוקבים אחר קבוצות האקרים רוסיות והמלחמה שלהם בסייבר מאז שרוסיה פלשה לאוקראינה בתחילת השנה. הפעם מדובר בקבוצה Trident Ursa.

קבוצת Trident Ursa מקושרת ל-פס"ב, שירות הביטחון הפדרלי של רוסיה, ופעילה לפחות מאז 2014. היא מכונה גם בשמות גמארדון (Gamaredon) וארמגדון (Armageddon), והיא ידועה בעיקר בפעולות איסוף המודיעין שלה באמצעות פישינג. הקבוצה העלתה את היקף הפעילות שלה באופן משמעותי מאוד מאז תחילת המלחמה של רוסיה נגד אוקראינה, וכבר תקפה יעדים אוקראיניים.

קבוצה קטנה, אבל מאוד חודרנית וממוקדת

החוקרים של פאלו אלטו מעריכים כי מטרת ניסיון החדירה לחברת זיקוק הנפט הייתה להגביר את איסוף המודיעין ולהשיג גישה לרשתות, כדי לפעול נגד בעלות ברית של אוקראינה ונגד נאט"ו. לדבריהם, על אף שהקבוצה מונה פחות מ-10 האקרים, היא אחת מקבוצות הפריצה מסוג APT "הנפוצות, החודרניות, הפעילות והממוקדות ביותר", שמכוונות את פעילות הסייבר ההתקפי שלהן אל אוקראינה.

עוד ציינו אנשי Unit 42 כי הפעילויות של Trident Ursa מזוהות באופן קבוע על ידי חוקרים וארגוני ביון ממשלתיים, ובכל זאת – נראה שזה לא אכפת לחבריה. "הם פשוט מוסיפים שכבת הסתרה נוספת, שמביאה לעוד ערפול, תחומים וטכניקות חדים, ומנסים שוב – לעתים קרובות תוך שהם אפילו עושים שימוש חוזר בדגימות קודמות (של נוזקות או מיילים – י"ה)", צוין בדו"ח. לדברי החוקרים, הקבוצה איננה מתוחכמת מבחינה טכנית, וחבריה נסמכים בפעילותם על פיתיונות וכלים הזמינים לציבור. מאפיין ייחודי שלהם הוא שימוש בחסימה גיאוגרפית, כדי להגביל למקומות ספציפיים את המתקפות שלהם. כך, רק משתמשים במדינות ממוקדות יכולים להוריד את הקבצים הזדוניים, מה שמפחית את הנראות של המתקפות שמבצעים חברי הקבוצה ומקשה על זיהוי הקמפיינים שלהם.

חיבה לתרבות הפופ ולכדורסל

לקבוצת הפריצה הרוסית יש חיבה מיוחדת לתרבות הפופ בעת שחבריה בוחרים את שמות הדומיין שלה: חלק מהם אלה שמות של קבוצות כדורסל ארצות הברית, להקות רוק ידועות כמו מטאליקה ופפא רואץ', ושמות של דמויות מהסיטקום האמריקני הפופולרי המפץ הגדול,

לקבוצה יש גם הרגל להטריל את יריביה ולתקוף אותם באינטרנט. זמן קצר לאחר הפלישה הרוסית לאוקראינה, חבר בקבוצה, המכונה אנטון, איים על חוקרים אוקראינים בטוויטר וצייץ: "אני בא אליכם". בנוסף, תת דומיינים שבהם השתמשה הקבוצה נקראו על שם חוקר אבטחת סייבר אוקראיני. החוקרים ציינו בדו"ח כי "ייאמר לזכותם של החוקרים האוקראינים אשר חוו איומים כי הם נשארו ממוקדים, לא נרתעו והמשיכו בעבודתם, כולל בפרסומים שלהם בטוויטר".

האמריקנים הזהירו שהרוסים ינסו לבצע מתקפות כאלה

הגילויים החדשים מהדהדים עם דבריו של רוב ג'ויס, ראש מנהלת אבטחת הסייבר של ה-NSA – הסוכנות לביטחון לאומי של ארצות הברית, שאמר בסוף השבוע האחרון שהוא "עדיין מודאג" ממתקפות סייבר משמעותיות מכיוונה של רוסיה, והזהיר שמוסקבה עלולה לערוך בחודשים הקרובים מתקפות דיגיטליות על ארגונים ממגזר האנרגיה העולמי, בפרט במדינות ברית נאט"ו.