רוסיה תקפה בסייבר חברות שסייעו לאוקראינה

לפי עשר סוכנויות ביון, מדובר במבצע ריגול שארך שנתיים, אותו ביצעה יחידה במודיעין הצבאי הרוסי, ה-GRU ● "ההאקרים הרוסים ניצלו פגמים בנכסי IoT"

יחידה שלו ערכה במבצע ריגול משמעותי במשך שנתיים. מודיעין הצבאי הרוסי, ה-GRU.

יחידה 26165 של ה-GRU – שירות המודיעין הכללי של צבא רוסיה – מבצעת ריגול בסייבר זה שנתיים על חברות לוגיסטיקה וטכנולוגיה – כולל נגד אלו שפעלו או תמכו בהובלה ומשלוח של סיוע חוץ לאוקראינה.

CISA, הסוכנות האמריקנית לאבטחת סייבר ותשתיות; NSA, הסוכנות לביטחון לאומי; ה-FBI ועוד סוכנויות ביון מעשר מדינות – בריטניה, גרמניה, צ'כיה, פולין, אוסטרליה, קנדה, דנמרק, אסטוניה, צרפת והולנד – פרסמו בסוף השבוע התראה משותפת, החושפת קמפיין ריגול סייבר בחסות רוסיה.

לפי מודיעין האיומים של חברות הגנת סייבר מערביות, מדובר בכמה קבוצות האקרים הפועלות תחת היחידה: דוב מהודר (Fancy Bear), בלו דלתא (Blue Delta) וסופת שלגים ביער (Forest Blizzard).

שחקני האיום בסייבר של המודיעין הרוסי הצבאי עושים שימוש בתמהיל של טקטיקות, טכניקות ונהלים (TTPs). במבצע שנחשף, ההאקרים הצליחו כנראה, לחדור למצלמות IP ברחבי אוקראינה ומדינות נאט"ו השכנות.

"המודיעין הצבאי הרוסי מכוון לגופים לוגיסטיים מערביים וחברות טק"

המסמך נושא את הכותרת "המודיעין הצבאי הרוסי מכוון אל גופים לוגיסטיים מערביים וחברות טכנולוגיה". הוא קורא למנהלים ומגיני רשת בגופים לוגיסטיים ובחברות טכנולוגיה "להכיר באיום המוגבר והממוקד של 26165, להגביר את הניטור ואת ציד האיומים אחרי דפוסי פעולה ידועים שלהם, אחרי אינדיקטורים לסיכון, ולהציב הגנות רשת חזקות וממוקדות".

ההאקרים ביצעו את הריגול בסייבר תוך שימוש בטכניקות מוכרות כמו ריסוס סיסמאות, דיוג חנית וניצול הרשאות באקסצ'יינג' (Microsoft Exchange). לפי המסמך, "בעקבות פלישת רוסיה לאוקראינה בפברואר 2022, פעילות זו התעצמה. כאשר המאמצים הצבאיים נעצרו והסיוע המערבי גדל, הקבוצה הרחיבה את המיקוד שלה לחברות לוגיסטיקה וחברות טכנולוגיה הקשורות לאספקת הסיוע. הם גם חדרו למצלמות המחוברות לאינטרנט בגבולות אוקראינה, כדי לעקוב אחר תנועת האספקה".

קמפיין הסייבר של יחידת 26165 התמקד בעשרות ארגונים, כולל גופים ממשלתיים ופרטיים שעשו שימוש בכל אמצעי תחבורה. "שחקני סייבר אלה התמקדו בישויות הקשורות לכמה מגזרי מפתח בתוך המדינות החברות בנאט"ו, אוקראינה וארגונים בינלאומיים. מגזרים אלה כוללים את התעשייה הביטחונית, תשתיות תחבורה כגון נמלים ושדות תעופה, פעילות ימית, ניהול תעבורה אווירית וספקי שירותי IT".

במהלך הקמפיין, שחקני יחידה 26165 הרחיבו את פעילותם, ופעלו לזיהוי ומיקוד בארגונים נוספים במגזר התחבורה. הקמפיין התמקד בארגונים בכמה מדינות, ביניהן בולגריה, צ'כיה, צרפת, גרמניה, יוון, איטליה, מולדובה, הולנד, פולין, רומניה, סלובקיה, אוקראינה וארה"ב. ההאקרים הצליחו לאתר לא מעט חולשות ופגיעויות שלא תוקנו, כדי להעמיק את החדירה שלהם. בנוסף, הם ניצלו חולשות במגוון מכשירי "משרד קטן ומשרד ביתי" (SOHO).

שילוב של נוזקות מותאמות אישית וכלים לגיטימיים

לצורך קצירת נתונים, ההאקרים השתמשו במגוון טכניקות המותאמות לסביבת הקורבן. הם השתמשו בשילוב של נוזקות מותאמות אישית וכלים לגיטימיים. במקרים רבים, הנתונים נדחסו לארכיוני ZIP (סוג פרוטוקול תקשורת לאחסון קבצים) לפני שהעלו אותם לתשתית הנשלטת על ידם. בנוסף, הם פעלו באופן חשאי, ובנו מרווחי זמן בין קצירות הנתונים, כך שלא תמיד הם זוהו והיו יכולים לשהות ברשתות הקורבנות זמן רב.

גרנט גייר, מנהל אסטרטגיה ראשי בקלארוטי, כתב כי "למרות שחברי הקבוצה לא עושים שימוש בשיטות מתוחכמות, הרי שזהו קמפיין מתוזמר מאוד, שבו נעשה שימוש במתקפות סייבר מתואמות ומתוכננות – הן נגד מערכות IT והן נגד מערכות סייבר-פיזיות – כדי להשיג הבנה מפורטת של מערכות נשק ותמיכה אחרת הניתנת לאוקראינה".

הוא הוסיף כי ב-GRU לא מתעניינים רק בתמיכה שמדינות מספקות לאוקראינה: "הם ביצעו מיקוד מפורט לאורך כל שרשרת האספקה, כדי להבין איזה ציוד נע, מתי ואיך, בין אם זה במטוס, בספינה או ברכבת. רמת תובנה זו יכולה לשמש הן למודיעין כללי והן למיקוד על תשתיות קריטיות לטובת מתקפות פיזיות".

פול צ'יצ'יסטר, מנהל המבצעים והתפעול של NCSC (המרכז הלאומי לאבטחת סייבר של בריטניה), אמר כי "קמפיין זדוני זה של שירות המודיעין הצבאי של רוסיה מהווה סיכון חמור לארגונים, כולל אלה המעורבים במתן סיוע לאוקראינה. בריטניה ושותפותיה מחויבות להעלות את המודעות לטקטיקות הננקטות. אנו ממליצים בחום לארגונים להכיר את האיומים ולהפחית את הסיכון המפורט, כדי לסייע בהגנה על הרשתות שלהם".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים