למרות שיחות השלום, מלחמת רוסיה-אוקראינה בסייבר – נמשכת

נשיא רוסיה, ולדימיר פוטין, ונשיא אוקראינה, ולודומיר זלנסקי, לא ייפגשו היום (ה') לשיחות פיוס. במקביל, למרות הניסיונות להפסקת הלחימה, המלחמה בסייבר נמשכת: חוקרי ESET חשפו את מבצע RoundPress – מתקפת סייבר שבוצעה על ידי קבוצת ההאקרים Sednit, המזוהה עם רוסיה ואשר תקפה ישויות הקשורות למלחמה באוקראינה, כדי לגנוב נתונים סודיים.

לפי החוקרים, בקמפיין הריגול, וקטור הפשרה הוא דוא"ל פישינג, המנצל פגיעות מסוג XSS במערכות הקורבנות, כדי להזריק קוד JavaScript זדוני לדף הדואר של הקורבן. הקמפיין המדובר מכוון לתוכנות המייל Roundcube, Horde, MDaemon ו-Zimbra.

In 2023, Operation RoundPress only targeted Roundcube, but in 2024 it expanded to other webmail software including Horde, MDaemon, and Zimbra.. For MDaemon, Sednit exploited the zero-day XSS vulnerability CVE-2024-11182. 2/5

— ESET Research (@ESETresearch) May 15, 2025

על פי ממצאי המחקר, רוב הקורבנות הם גופים ממשלתיים וחברות ביטחוניות במזרח אירופה, אם כי החוקרים הבחינו במתקפות גם על גופי ממשל ממשל באפריקה, אירופה ודרום אמריקה.

המטענים המכילים נוזקות, מסוגלים לגנוב אישורי דואר, ולחלץ אנשי קשר והודעות דוא"ל מתיבת הדואר של הקורבן.

עוד עלה כי SpyPress.MDAEMON מסוגל להגדיר מעקף, לטובת אימות דו-שלבי.

Our blogpost provides an analysis of the JavaScript payloads, which we named SpyPress. They are able to steal webmail credentials, and exfiltrate contacts and email messages from the victim’s mailbox. 4/5 pic.twitter.com/8RF8SLPc8q

— ESET Research (@ESETresearch) May 15, 2025

Sednit, דוב מהודר ועוד שמות לאותה קבוצה

קבוצת הריגול בסייבר Sednit, המזוהה עם רוסיה, ידועה גם בשם דוב מהודר (Fancy Bear), וכן בכינויים Forest Blizzard, Sofacy ו-APT28. לא משנה איך היא מכונה, מהות פעילות הקבוצה היא גניבת נתונים סודיים מחשבונות דוא"ל ספציפיים. הקבוצה פעילה לפחות מאז 2004.

הביון האמריקני ציין את הקבוצה כאחת מהאחראיות לפריצה לוועדה הדמוקרטית הלאומית (DNC), לפני הבחירות בארה"ב ב-2016. היא מקושרת למודיעין הצבאי הרוסי, ה-GRU. הקבוצה גם עומדת מאחורי הפריצה לרשת הטלוויזיה העולמית TV5Monde, דליפת הדוא"ל של הסוכנות העולמית למלחמה בסמים, ה-WADA, ומאורי תקריות סייבר רבות אחרות.

רוב המטרות של הקבוצה במבצע האחרון שנחשף כעת קשורות למלחמה הנוכחית באוקראינה: גופים ממשלתיים אוקראיניים, לצד חברות ביטחוניות בבולגריה וברומניה. חלק מקבלני ההגנה הללו מייצרים נשק, עוד מהתקופה הסובייטית – אשר נשלח לאוקראינה. מטרות אחרות כוללות ממשלות באפריקה, גורמים באיחוד האירופי וארגונים בדרום אמריקה.

"ראינו פגיעויות XSS שונות המשמשות למתקפות על תוכנות דוא"ל"

מתיו פאו, חוקר ESET שגילה את מבצע RoundPress. צילום: לכידת מסך מלינקדאין

לדברי מתיו פאו, החוקר שגילה את מבצע RoundPress, "בשנה שעברה ראינו פגיעויות XSS שונות המשמשות למתקפות על תוכנות דוא"ל נוספות: Horde, MDaemon ו-Zimbra. כעת חברי הקבוצה החלו לנצל פגיעויות עדכניות יותר.

אופן הפעולה הוא שההאקרים שולחים את המייל ובו ניצול לרעה של XSS. הניצול מוביל לביצוע קוד JavaScript זדוני, בהקשר של דף האינטרנט של הקורבן בחלון דפדפן. כך ניתן לקרוא ולהוציא נתונים הנגישים מהחשבון. כדי שהניצול יפעל, יש לשכנע את היעד לפתוח את הודעת הדואר האלקטרוני בפורטל דואר האינטרנט הפגיע. המשמעות היא שהמייל צריך לעקוף כל סינון דואר זבל, ושורת הנושא צריכה להיות משכנעת מספיק כדי לפתות את היעד לקרוא את הודעת הדוא"ל – תוך ניצול לרעה של כלי תקשורת ידועים, כמו אתר החדשות האוקראיני קייב פוסט או פורטל החדשות הבולגרי News.bg". לדברי פאו, בין הכותרות ששימשו כפישינג נכללו למשל הבאות: "SBU עצר בנקאי שעבד עבור המודיעין הצבאי של האויב בחרקוב" ו-"פוטין מבקש שטראמפ יקבל את התנאים הרוסיים ביחסים הדו-צדדיים". 

"בשנתיים האחרונות", סיכם, "שרתי דואר אינטרנט כמו Roundcube ו-Zimbra היו מטרה מרכזית עבור כמה קבוצות ריגול, לצד Sednit, בהן: GreenCube ו-Winter Vivern. כיוון שארגונים רבים אינם מעדכנים את שרתי הדואר האלקטרוני שלהם, ומכיוון שניתן להפעיל את הפגיעויות מרחוק על ידי שליחת הודעת דואר אלקטרוני, נוח מאוד לתוקפים למקד שרתים שכאלה לגניבת דואר אלקטרוני".