"הפתעה": למרות האזהרות האמריקניות, רוסיה ממשיכה לתקוף בסייבר
עדויות מצביעות כי ה-SVR, שירות ביון החוץ של הדוב הרוסי, ממשיך להשתמש במתקפותיו בנוזקה WellMess
ביום ו' האחרון, ג'ו ביידן, נשיא ארצות הברית, הזהיר – שוב – את ולדימיר פוטין, עמיתו הרוסי, שהוא נדרש לפעול נגד קבוצות של האקרים. ביידן רמז שאם רוסיה לא תיעתר לאזהרה, תהיינה לכך השלכות וארצות הברית תגיב בסייבר. נראה שהאזהרות לא השפיעו על הקרמלין.
RiskIQ חשפה בסוף השבוע פעילות נוספת של תשתית הפריצה, שהמערב ייחס בקיץ שעבר לסוכנות הביון הרוסית SVR. הפעילות כוללת שימוש של הקבוצה, המכונה APT29, או קבוצה קרובה לה, Cozy Bear (בתרגום חופשי, דוב חמים ונעים) ברוגלות ובנוזקות, שבהן ההאקרים הסתייעו בעת שניסו לגנוב נתוני מחקר על המאבק בנגיף הקורונה.
הנוזקה, המכונה WellMess או WellMail, נחשפה על ידי גופי ביון של ארצות הברית, בריטניה וקנדה ביולי 2020. באפריל השנה, ה- FBI קרא לארגונים לתקן חמש נקודות תורפה ידועות, שנוצלו על ידי ה-SVR לטובת ביצוע מתקפות.
אחת מקבוצות התקיפה העקביות והמתוחכמות בתבל
חוקרי RiskIQ זיהו באחרונה עשרות שרתי פיקוד ובקרה המשמשים כתשתית ההפעלה של WellMess. לדברי החברה, שרתים אלה נמצאים בשליטה של APT29. מדובר באחת מקבוצות התקיפה העקביות והמתוחכמות ביותר בתבל. קבוצת APT29 ידועה ותוקפת מזה זמן, אולם המתקפה שלה לפני מעל שנה וחצי על סולארווינדס גרמה לנזק הרב ביותר. בעבר דווח שהיא מקושרת, כאמור, ל-SVR, שירות ביון החוץ של רוסיה, ולעתים גם ל-FSB, שירות הביטחון הפדרלי של הקרמלין – ה-"יורש" של הקג"ב. הקבוצה ידועה לשמצה בכך שהיא מפעילה מאמצים רב כיווניים ובשל העובדה שהיא לא נסוגה מפעולות ריגול, גם לאחר שאלה מתגלות.
מומחי אבטחה ציינו כי APT29 התאמצה במשך שנים להסתיר את פעילותה, ולפעמים היא מפעילה פעולות ריגול שנמשכות שנים. "מדובר ביריב סבלני, בעל משאבים טובים, שפועל באופן ממוקד ושמקיים פעילות ארוכת טווח ברשתות של הקורבנות", הזהירו בעבר אנשי CISA – הסוכנות לאבטחת סייבר ותשתיות במשרד להגנת המולדת בארצות הברית. חוקרי אבטחה ציינו שמעקב אחרי התנהגויות APT29 עלול להיות קשה יותר בהשוואה למאמצים לעקוב אחרי קבוצות פריצה אחרות המקושרות לממשל הרוסי, בין השאר משום שחברי הקבוצה משפצים ומשכללים באופן קבוע את דפוסי הפעולה והתקיפה שלהם. למרות כל האמור, החוקרים לא מייחסים לקבוצה את כל מתקפות הכופרה האחרונות – אלה שהיו מושא הדיאלוג שבין הבית הלבן לקרמלין.
תעלומה נוספת, שאותה החוקרים לא הצליחו לפתור, היא כיצד המרגלים הרוסים משתמשים כעת בנוזקה WellMess. "יש לשים לב שחלק גדול מהתשתית שחשפנו עדיין נמצא בשימוש פעיל על ידי חברי APT29, אם כי אין לנו מספיק מידע כדי לומר איך הם משתמשים בה או את זהות המטרות שנגדן היא מופעלת", כתבו חוקרי RiskIQ.
צל כבד בן שלושה עשורים
על פי בכירים בוושינגטון, אותן קבוצות האקרים רוסיים שמחדירות נוזקות וכופרות פועלות באישור או בידיעת הקרמלין. לפי הממשל, "לרוסיה יש אחריות לפעול נגד קבוצות אלה, שפועלות בשטחה".
המאבק בממד הסייבר מטיל צל כבד על יחסיהן של שתי מעצמות העל מזה שלושה עשורים. בשנים האחרונות, מתקפות הסייבר מגיעות לנפחים ולעוצמות חדשות. לצד מתקפת סולארווינדס, במאי השנה האקרים רוסיים הביאו להשבתת פעילות צינור הדלק של קולוניאל פייפליין וגרמו לקפיצה במחירי הדלק בחוף המזרחי של ארצות הברית. חודש לאחר מכן, ביוני, קבוצת האקרים רוסית אחרת – Revil – תקפה בסייבר את ענקית עיבוד הבשר JBS. ימים אחדים לאחר מכן הקבוצה ערכה את מתקפת הכופרה הגדולה על קסיה.
תגובות
(0)