עוד יום, עוד מתקפת סייבר רוסית על אוקראינה
חוקרי ESET חשפו מתקפה שביצעה אחת מקבוצות ההאקרים ה''פוריות'' ביותר של מודיעין הצבא הרוסי ● החוקרים לא ציינו את זהות קורבן המתקפה - יעד ספציפי שנבחר מהמגזר הציבורי באוקראינה
אחת מקבוצות ההאקרים ה"פוריות" ביותר של מודיעין הצבא הרוסי (GRU) תקפה בסייבר, שוב, מגוון יעדים באוקראינה. חוקרי ESET הם שחשפו את דבר המתקפה.
לפי ESET, המתקפה מיוחסת לקבוצת התקיפה הרוסית תולעת חול (Sandworm). לפי ארה"ב, הקבוצה אחראית למתקפות זדוניות רבות לאורך השנים והינה שלוחה של המודיעין הצבאי של רוסיה.
החוקרים לא ציינו את הזהות של קורבן המתקפה, שנערכה בשבוע שעבר, אבל הוסיפו כי מדובר ביעד ספציפי שנבחר, מהמגזר הציבורי באוקראינה.
לדברי ז'אן-יאן בוטין, מנהל חקר האיומים ב-ESET, "המתקפה התמקדה ביעד ספציפי. אין עדיין נראות לגבי ההשפעה של המתקפה, אולם כבר בשלב זה ניתן לקבוע כי מדובר בנוזקה חדשה למחיקת נתונים ('מגב') שנפרסה על ידי ההאקרים של תולעת חול".
במתקפה החדשה, ציינו החוקרים, התוקפים השתמשו בנוזקת מחיקת מידע (Wiper) אותה כינו SwiftSlicer. הנוזקה עושה שימוש בהגדרות Group Policy Object, באמצעותן ההאקרים יכולים לבצע הגדרות שונות לכל המחשבים בארגון. הנוזקה החדשה כתובה בשפת התכנות Go. ברגע שהנוזקה פועלת, היא מוחקת עותקי shadow, מחליפה קבצים, ולאחר מכן מאתחלת את המחשב.
רשת החשמל האוקראינית – על הכוונת
בחודש מאי האחרון חוקרי ESET זיהו מתקפת 'מגב' של הקבוצה, אותה הם ערכו נגד מתקני אנרגיה אוקראינים. חברי הקבוצה עשו שימוש בנוזקת Industroyer – בה כבר נעשה שימוש בעבר. לא הייתה זו הפעם הראשונה שבה האקרים רוסים תקפו את רשת החשמל האוקראינית. הם עשו זאת גם בחגי סוף השנה של 2015, וגרמו להפסקת חשמל. לדברי חוקרי אבטחת מידע, המהלך העיד, בזמנו, על הסלמה חדשה ומטרידה בעולם מתקפות הסייבר.
המתקפה ההיא גרמה לכך שמחצית מהבתים באזור איבנו-פרנקיבסק נותרו ללא חשמל למשך כמה שעות ב-23 בדצמבר. הפסקת החשמל, שפגעה בכמה מאות אלפי בני אדם, ולפי אחד הדיווחים ב-700 אלף מהם, נגרמה מווירוס שגרם לניתוק תחנות כוח מהרשת. החוקרים אמרו שניתוח הנוזקות שנמצאו במערכות של לפחות שלושה מפעילי חשמל אזוריים העלה כי "מתקפת סייבר הרסנית" היא שהובילה להפסקת החשמל. האוקראינים חוו עוד מתקפת סייבר על תשתיות אנרגיה בחגים של השנה שלאחר מכן.
'תולעת חול' מסווגת כקבוצה מסוג APT – איום מתמשך מתקדם. מונח זה משמש לתיאור תוקפים או קבוצות של תוקפים, שמקבלים גישה לרשתות מחשבים, בדרך כלל של ארגונים פרטיים או ממשלתיים גדולים. הם נוטים להישאר שם בלא זיהוי ולאורך זמן. במקרים רבים, פעילותם ממומנת על ידי מדינות.
תגובות
(0)