צרפת מאשימה: האקרים רוסים תקפו אותנו בקמפיין רחב היקף

קבוצה של האקרים ידועים לשמצה, המכונה Sandworm (תולעת חול), פרצה לחברות רבות – חברות IT צרפתיות וחברות אירוח אתרים. זאת, כחלק מפעילות ריגול בסייבר, שהחלה כבר משנת 2017, כך האשימה צרפת.

ANSSI, הסוכנות הלאומית לאבטחת סייבר בצרפת, פרסמה דו"ח, המפרט כיצד תוקפים ניצלו כלי לניטור משאבי IT – בשם Centreon – כדי לחדור למערכות IT של ארגונים.

בעוד שהסוכנות לא האשימה באופן ספציפי את רוסיה, הרי שהדו"ח שלה פירט כיצד Sandworm – קבוצת האקרים המזוהה עם הביון הצבאי הרוסי, GRU – שהתה באופן נסתר במשך שלוש שנים, משנת 2017 עד 2020, ברשתות של ארגונים צרפתיים.

הדו"ח גם לא ציין כיצד התוקפים ניצלו את הגישה שהשיגו למערכות ולרשתות. למרות זאת, מומחי אבטחה ציינו כי די במעורבות של הקבוצה בקמפיין הפריצות – כדי לעורר דאגה. החוקרים האשימו בעבר את תולעת החול במתקפת NotPetya על אוקראינה בשנת 2017, בתקיפה של רשת החשמל באוקראינה ב-2015, ובאירועי סייבר הרסניים אחרים.

דמיון "מעורר תמיהה" למתקפת הענק בסייבר על ארה"ב

עוד ציינו החוקרים כי מסע הריגול בסייבר דומה באופן "מעורר תמיהה" למתקפת הענק בסייבר הרוסית בארה"ב. במתקפה זו ההאקרים, גם הם מקורבים לקרמלין, ניצלו עדכון לתוכנת אוריון – לניטור ולניהול רשתות של סולאר-ווינדס (SolarWinds), כדי להשיג דריסת רגל במערכות וברשתות של ארגונים מסחריים וסוכנויות פדרליות בארה"ב. לאחר שההאקרים פרצו לרשתות אלו, הם אספו מודיעין רב משלל הקורבנות, ביניהם גם ארגונים מישראל. בין הארגונים שהותקפו ונפרצו: מיקרוסופט, פייראיי, סיסקו, אינטל, אנבידיה, בלקין, יצרנית נתבי Wi-Fi וציוד רשת ביתי, וכן חברת הייעוץ דלויט. מהממשל הפדרלי הנפגעים רבים, ובהם: משרד האוצר, מינהל הטלקום והמידע הלאומי במשרד המסחר (NTIA), סוכנויות מודיעין, ביניהן הסוכנות לאבטחת סייבר ותשתיות (CISA), משרד האנרגיה, מינהל ביטחון הגרעין הלאומי (NNSA) – המטפל במאגר אמצעי הלחימה הגרעיניים של ארה"ב – וכן המשרד להגנת המולדת ומשרד החוץ.

על פי סוכנות אבטחת הסייבר הצרפתית, המתקפות כללו שימוש בשני כלי פריצה: PAS web shell, ו- Exaramel. הכלים הללו משמשים כדלת אחורית ומאפשרים גישה וביצוע פקודות מרחוק על מערכות. שני כלי הפריצה זוהו על ידי ספקיות אבטחה בשנים 2017 ו-2018, בהתאמה.

תקיפות מתוחכמות שכנראה החלו עוד לפני 2020. מתקפת הסייבר בארצות הברית. אילוסטרציה: BigStock

ההאקרים הצליחו לחדור בחלק מהמקרים, כיוון שהקורבנות הארגוניים לא עדכנו במערכות שלהם את הגרסה האחרונה של Centreon. לו היו עושים זאת, היקף ההצלחה של ההאקרים היה נמוך בהרבה. לעיתים קבוצות פריצה עושות שימוש האחת בנוזקה של רעותה, ולהפך, וזאת במטרה מכוונת להטעות חוקרי אבטחת מידע. אלא שבמקרה זה, טוענת הסוכנות הצרפתית כי היא זיהתה חפיפה בין שרתי פיקוד ובקרה ששימשו בקמפיין הפריצה של Centreon ואירועי פריצה של Sandworm.

מסימני ההסלמה בסייבר: הפסקת החשמל באוקראינה ב-2016 

בתחילת ינואר 2016 דווח כי האקרים גרמו להפסקת חשמל באוקראינה בתקופת חגי סוף השנה, מהלך המעיד, לדברי חוקרי אבטחת מידע, על הסלמה חדשה ומטרידה בעולם מתקפות הסייבר. הפסקת החשמל, שפגעה בכמה מאות אלפי בני אדם, ולפי אחד הדיווחים ב-700 אלף מהם, נגרמה מווירוס שגרם לניתוק תחנות כוח מהרשת.

חוקרים אמרו כי ניתוח הנוזקות שנמצאו במערכות של לפחות שלושה מפעילי חשמל אזוריים, העלה כי "מתקפת סייבר הרסנית" היא שהובילה להפסקת החשמל.

התוקפים השתמשו בסוג של נוזקה שמחקה קבצים ממערכות מחשב, כיבתה אותן – מה שגרם להפסקת החשמל רחבת ההיקף. לפחות אחת ממערכות החשמל הייתה נגועה גם בנוזקה BlackEnergy.

שילוב דומה היה בשימוש נגד כמה כלי תקשורת אוקראינים במהלך הבחירות המקומיות שנערכו בה שנה קודם לכן. חוקרים חשפו אז כי המתקפות שגרמו להפסקת החשמל היו של הקבוצה Sandworm, שבעבר כבר אובחנה כמי שעשתה שימוש ב-BlackEnergy.

ב-2014, iSight קבעה כי הקבוצה תקפה את נאט"ו, חברות במגזר האנרגיה, מוסדות אקדמיים בארצות הברית, כמו גם ארגונים ממשלתיים באוקראינה, פולין ומערב אירופה.

סנטראון מסרה בתגובה כי "לא הוכח בשלב זה שהפגיעות שזוהתה נוגעת לגרסה מסחרית שאנו מספקים במהלך התקופה האמורה".

הקרמלין הכחיש בעקביות כל מעורבות במתקפות סייבר או ריגול בסייבר.