מיקרוסופט חשפה האקרים רוסיים שפרצו לרשתות באמצעות רכיבי IoT

לאחר שנכנסו לרשתות, ההאקרים, חברי קבוצת Fancy Bear, המזוהה עם הקרמלין, חיפשו אחרי רכיבים ומכשירים לא מאובטחים, ומשם הגיעו לחשבונות בעלי הרשאות גבוהות יותר - עם נתונים בעלי ערך רב יותר

כתבי אישום נגד שישה קציני מודיעין רוסים שהניעו מתקפות סייבר. אילוסטרציה: BigStock

האקרים שעובדים עבור ממשלת רוסיה השתמשו במדפסות, ממירים ורכיבי אינטרנט של הדברים על מנת לחדור לרשתות מחשבים, במסגרת מתקפות סייבר ממוקדות – כך הזהירו אתמול (ב') חוקרי מיקרוסופט.

"הרכיבים הללו הפכו לנקודות חיבור שממנה ביסס שחקן האיום את הנוכחות שלו ברשת ומשם הוא המשיך לחפש גישה נוספת", כתבו חוקרי מודיעין האיומים של חברת הענק בפוסט שפרסמו. "ברגע שהשחקן הצליח להשיג גישה לרשת המותקפת, הוא ערך סריקת רשת פשוטה לחיפוש אחרי רכיבים ומכשירים לא מאובטחים. זו אפשרה לו להמשיך הלאה, ולחפש אחר חשבונות בעלי הרשאות גבוהות יותר – כאלה שיעניקו לו גישה לנתונים בעלי ערך גבוה יותר."

לאחר שההאקרים השיגו גישה לכל אחד מרכיבי ה-IoT, הם הפעילו תוכנה כדי "לרחרח" את התעבורה ברשתות המשנה של הקורבן, בין השאר על ידי חיפוש הרשאות אדמין. אז הם הטמינו Shell script פשוט, על מנת לבסס את אחיזתם ברשת המותקפת, תוך שימוש בשרתי שליטה ובקרה (2C) חיצוניים, לשליטה מרחוק על פעולות גניבת המידע.

חוקרי מיקרוסופט גילו את המתקפות באפריל השנה, כאשר התגלה שטלפון מבוסס IP, מדפסת משרדית וממיר שהיו אצל לקוחות ארגוניים היו בקשר עם שרתים השייכים ל-Strontium – קבוצת פריצה ממשלתית רוסית, שידועה יותר בשם Fancy Bear. בשני מקרים, הססמאות של המכשירים היו ברירת המחדל שניתן לנחש אותה בקלות ובמקרה השלישי, המכשיר הפעיל גרסת קושחה ישנה עם פגיעות ידועה. בעוד שהחוקרים הגיעו למסקנה לגבי זהות ההאקרים, הם לא הצליחו לגלות מהם היעדים הסופיים לפריצה של הקבוצה.

אחת מהקבוצות שעומדות מאחורי הפריצה למחשבי הדמוקרטים בארה"ב

Fancy Bear, או, בשמה האחר, APT 28, היא אחת מקבוצות ההאקרים שעומדות מאחורי הפריצה לשרתי המייל של המפלגה הדמוקרטית והדלפת המיילים, במטרה לסייע לדונלד טראמפ לנצח בבחירות לנשיאות ארצות הברית ב-2016. בשנה שעברה התפתחה החקירה בעניין זה, כמו גם לגבי המעורבות הכללית של הקרמלין בבחירות לבית הלבן. בנוסף, לקראת סוף 2017 פורסם כי Fancy Bear, שלא התאמצה לטשטש את זהותה הלאומית (אנשיה הותירו חתימות באותיות קיריליות), ניסתה לפרוץ לחשבונות הג'י-מייל של יותר מ-200 כתבים, מו"לים ובלוגרים – מאמצע 2014 ועד ל-2017. מדובר בעיתונאים שמפריעים למשטר הרוסי, ומטרת התקיפה הייתה לרגל אחריהם.

בשנה שעברה, ה-FBI הגיע למסקנה כי קבוצה זו היא העומדת מאחורי ההדבקה של יותר מחצי מיליון נתבים ביתיים ב-54 מדינות. הנוזקה, המכונה VPNFilter, היוותה "חוד החנית" בפריצות: היו לה יכולות מתקדמות, ביניהן היכולת לפקח, לרשום או לשנות תעבורה בין נקודות קצה ברשת ואתרי אינטרנט, או מערכות בקרה תעשייתיות. אנשי הבולשת, בשיתוף חוקרי קבוצת האבטחה Talus של סיסקו, הצליחו לנטרל פעילות זו.

שמה של Fancy Bear קושר גם לחדירות למערכות של הסוכנות הבינלאומית למלחמה בסמים, של הבונדסטאג הגרמני ושל תחנת הטלוויזיה הצרפתית TV5Monde.

הפרסום הנוכחי בא בהמשך להודעתה של מיקרוסופט מהחודש שעבר, שלפיה היא מסרה בשנה האחרונה לכמעט 10,000 לקוחות ארגוניים שהם מהווים יעד למתקפות פוטנציאליות על ידי האקרים בחסות מדינה, וספציפית על ידי Strontium.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים