ה-"קאמבק" של קבוצת פריצה רוסית ידועה לשמצה – באוקראינה
ההאקרים חברי טורלה תקפו באוקראינה עוד בדצמבר 2021, לפני הפלישה הרוסית לשם - אולם הפעילות התגלתה רק באחרונה, על ידי חוקרי מנדיאנט ● באילו מתקפות מדובר ומה הקבוצה ביצעה?
אוקראינה ספגה מתקפות רבות מצדה של רוסיה, מאז שזו פלשה אליה פיזית בחודש פברואר האחרון – גם בסייבר. ההאקרים – אלה שפועלים ישירות מטעם הממשל במוסקבה ואלה ש-"רק" תומכים ברוסיה – תקפו מערכות IT אוקראיניות בלא הרף. אבל שמה של קבוצת האקרים רוסית אחת, בעלת יכולות רבות בתחום, נעדר באופן בולט מהקבוצות שהוזכרו כתוקפות את אוקראינה כחלק מהסכסוך – עד כה.
בסוף השבוע חשפו חוקרי מנדיאנט מבית גוגל כי הם גילו את ההאקרים חברי טורלה (Turla) מבצעים מתקפות ממוקדות נגד מערכות אוקראיניות, באמצעות נוזקות מוכנות מהמדף. לדברי החוקרים, המתקפות התבססו על קמפייני סייבר מהעבר, תוך שימוש בתשתיות תקיפה שכבר נעשה בהן שימוש.
התקיפה – באמצעות גרסה של נוזקה מ-2013
לפי חוקרי מנדיאנט, המתקפה של טורלה על מערכות אוקראיניות החלה עוד בטרם הפלישה הרוסית לאוקראינה – בדצמבר 2021, כאשר ההאקרים הצליחו להחדיר התקן USB נגוע למערכת IT במדינה, ומשם הם פצחו במסע מתקפות בסייבר. החוקרים מצאו שההתקן הכיל בתוכו גרסה של נוזקת אנדרומדה משנת 2013. אנדרומדה היא משפחת נוזקות שזמינות מסחרית. החוקרים הבחינו שהנוזקה החלה לשלוח נתונים לתשתית הפיקוד והבקרה של טורלה. לדבריהם, חברי טורלה שינו את תשתית התקיפה שלהם לעומת התשתיות שבהן הם השתמשו באירועי תקיפה קודמים.
טורלה הסתמכה בעבר על נוזקות המופצות באמצעות התקני USB, אולם במתקפות נגד אוקראינה היא נקטה בגישה חדשנית, על מנת להסתיר את פעילותה. לדברי ג'ון הולטקוויסט, ראש מודיעין האיומים של מנדיאנט, "החידוש שלהם הוא בכך שלא הם אלה שמביאים את הנוזקות – אלא שעכשיו הם מנצלים עבודה של שחקן איום אחר, ומשתלטים על תשתיות הפיקוד והשליטה שלו. בדרך זו, חברי טורלה מרחיקים את עצמם מהעבודה המלוכלכת, והמתוקשרת, של התפשטות הנוזקה – אולם עדיין יש להם יכולת לבחור את קורבנות המתקפה שלהם".
לפי החוקרים, הקבוצה הפעילה במתקפות נגד אוקראינה "כלי סיור" המכונה Kopiluwak ודלת אחורית המכונה Quietcanary, והורידה את הכלים הללו כמה וכמה פעמים – וברצף. הם ציינו כי "זה עשוי להצביע על אחד מארבעה: שהקבוצה פעלה בחיפזון, שחבריה לא דאגו לאבטחה תפעולית, שהיה להם ליקוי תפעולי כלשהו או שהם עשו שימוש בכלים אוטומטיים".
קבוצה שידועה משנות ה-90'
אנליסטים ציינו שהפעילות של חברי טורלה זוהתה כבר במחצית שנות ה-90', וכי יש לאנשיה היסטוריה ארוכה של "להרוס את החיים" לצוותי ההגנה בארגונים במערב.
כך, כבר ב-1996, הקבוצה תקפה, ב-"פשיטה נועזת", את מערכות ה-IT של נאס"א והפנטגון, במתקפה שהוגדרה כאחת הראשונות של ריגול בין מדינתי בסייבר. ב-2007, מומחים האשימו את הקבוצה בפריצה למערכות מחשבים "רגישות ביותר" של צבא ארצות הברית, באמצעות שימוש בהתקן USB נגוע. מתקפה זו הניעה את הפנטגון לשנות ולעצב מחדש את תפיסת אבטחת הסייבר של ארצות הברית ולהקים פיקוד ייעודי בצבא האמריקני – סייבר.קום. באחרונה, הקבוצה תקפה מערכי הגנה ואבטחת סייבר במדינות הבלטיות.
בינואר 2021, חוקרי קספרסקי חשפו כי חברי טורלה עשו שימוש בנוזקה ששימשה לפריצה מסיבית למאות ארגונים מסחריים ולעשרות ארגונים פדרליים בארה"ב. הקבוצה ידועה לשמצה בכך שהיא מפעילה מאמצים רב כיווניים ובשל העובדה שהיא לא נסוגה מפעולות ריגול, גם לאחר שאלה מתגלות.
על פי NCSC, המרכז הלאומי לאבטחת סייבר בבריטניה, שמהווה חלק מסוכנות הביון GCHQ, קבוצת טורלה מכוונת לממשלות, כמו גם לצבאות, ולחברות טכנולוגיה ואנרגיה, ויש לה עבר מוכח של שימוש בנוזקות שגונבות נתונים רגישים, ושלאחר מכן משמשות לביצוע מתקפות סייבר עתידיות.
לפי המומחים, ההאקרים מהווים חלק מהפעילות של סוכנות הריגול FSB, שירות הביטחון הפדרלי של רוסיה, ה-"יורשת" של הקג"ב. טורלה היא אחת מיחידות הפריצה המפורסמות ביותר של רוסיה, והיא מתאפיינת בפעילויות חשאיות, לצד ערפול המתקפות שלה.
יעדי המתקפות לא נחשפו
מומחים, שלא ממנדיאנט, ציינו כי החשיפה האחרונה אודות טורלה משמשת תזכורת לכך שיש פעילות רוסית משמעותית במרחב הקיברנטי – רק שהיא מתרחשת מתחת לרדאר. כך, פעילותה ההתקפית של טורלה החלה בדצמבר 2021, לא התגלתה עד ספטמבר 2022 ולא פורסמה עד סוף השבוע האחרון.
חוקרי מנדיאנט לא חשפו את יעדי המתקפות באוקראינה של חברי טורלה, אך אמרו כי "היא ביצעה מתקפות בהיקף נרחב, על מגוון קורבנות החל מינואר 2022, מה שאיפשר לחברי הקבוצה לבחור מערכות ספציפיות של קורבנות, להתאים את מאמצי התקיפה ואז לחלץ מידע אסטרטגי, וזאת – בהתאמה לסדרי העדיפויות הרוסיים".
תגובות
(0)