נחשפה קבוצת האקרים שכירי חרב שמתמקדת בעסקים ועיתונאים ברוסיה

התגלתה קבוצת שכירי חרב חדשים בסייבר, האקרים דוברי השפה הרוסית, שתוקפת יעדים שונים במדינה – החל בעסקים רוסיים וכלה בעיתונאים ובפוליטיקאים – ובמדינות אחרות. את הקבוצה חשפה בימים האחרונים טרנד מיקרו.

חוקרים גילו את הקבוצה לאחר שאדם שהינו יעד ארוך שנים למתקפות מצד קבוצת Pawn Storm אמר במרץ 2020 שאשתו הייתה מטרה של מתקפת פישינג דרך המייל. הקבוצה קשורה למודיעין הרוסי, והיא ידועה גם כ-Fancy Bear (דוב מהודר) וכ-APT28. החוקרים של טרנד מיקרו מצאו שהאינדיקטורים לא תואמים לסגנון ולטכניקות המתקפה של Pawn Storm – וייחסו את המתקפות לקבוצה אחרת, שאף חבריה הם דוברי רוסית, בשם Void Balaur.

על פי החוקרים, "בניגוד ל-APT28, נראה כי Void Balaur היא קבוצה עצמאית, שמוכנה לפרוץ למיילים של מגוון רחב מאוד של יעדים, כגון חברות תעופה ברוסיה ופעילי זכויות אדם באוזבקיסטן".

"המטרות שלהם הן תמהיל באמת מגוון", אמר פייקה האקוובורד, החוקר הראשי. "נראה שהרבה לקוחות שונים משתמשים בשירותים שלהם, וזה תואם את ההתרשמות שלנו שהם למעשה שכירי חרב בסייבר – שכמעט כל אחד יכול להעסיק".

תעשיית שכירי חרב בסייבר שנמצאת בצמיחה

מומחים ציינו שהמחקר חושף תעשיית שכירי חרב בסייבר שנמצאת בתהליך צמיחה, וללא כל בקרה עליה, "כזו שכבר הספיקה לעורר חששות בתחומי הפוליטיקה וזכויות האדם". הם מזהירים שבעוד שמדינות עשויות לראות בשירותי שכירי חרב סייבר נכס של המדינה, "הרי שארגוני האקרים להשכרה יכולים בקלות לשמש כלים לפעול נגד מדינת הולדתם".

לדברי האקוובורד, "האקרים רוסיים, ביניהם גם קבוצות שמתקיפות עם כופרות, נוטים לפעול באזור בלא להיענש, הודות להסכמתם בשתיקה עם ממשלת רוסיה שלא לתקוף מטרות רוסיות. הסכמים אלה פחות מחמירים כשמדובר בגניבה ובמכירה של נתונים אישיים של אנשים פרטיים רוסיים, שמתרבות בפורומים בשפה הרוסית".

הוא הוסיף שעד כה, חוקרי טרנד מיקרו חשפו יותר מ-3,500 יעדים של הקבוצה. לדבריו, ההאקרים מתמקדים בעיקר בארגונים שיכולים לספק מערכים גדולים של נתונים אישיים, כולל מפעילים ניידים ומרפאות להפריה חוץ גופית. "המחקר שלנו חשף תמונה ברורה: אנשי Void Balaur מחפשים את הנתונים הפרטיים והאישיים ביותר של עסקים ואנשים פרטיים – ואז מוכרים אותם לכל מי שמוכן לשלם", אמר האקוואבורד.

באילו נתונים מדובר?

הנתונים שהקבוצה, שמפרסמת תחת השם Rockethack, מוכרת בפורומים מחתרתיים של דוברי רוסית כוללים מידע על דרכונים רוסיים, נתוני נוסעים משדות תעופה במדינה, רישומים של האינטרפול ורישומי מס ברוסיה. החוקרים קראו לקבוצת ההאקרים Void Balaur על שם שמות של מפלצת רב ראשית מהפולקלור המזרח אירופי. הם העריכו שהדמות מסמלת את המטרות הרבות שלשמן, ככל הנראה, הם נשכרים.

בנוסף לריגול תאגידי, קבוצת ההאקרים השיקה קמפיינים גדולים נגד מטרות פוליטיות. בספטמבר, חברי הקבוצה "התמקדו בכתובות מייל פרטיות של ראש סוכנות ביון לשעבר, חמישה שרי ממשלה פעילים, כולל שר הביטחון, ושני חברי הפרלמנט הלאומי של מדינה במזרח אירופה", נמסר.

חוקרי טרנד מיקרו גם קשרו, "במידה בינונית של ביטחון", לדבריהם, את Void Balaur לריגול נגד עיתונאים ופעילים אוזבקיים – קמפיין שעקבותיו מעידים כי הוא הופעל שנה לפני שחברי הקבוצה החלו לפרסם את פועלם באינטרנט ב-2017.

ללא קשר ישיר, מומחי האו"ם פרסמו ביום ו' האחרון דו"ח לגבי "פעילויות הקשורות לשכירי חרב במרחב הווירטואלי" ודחקו במדינות שלא לגייס, לממן ולהכשיר אנשים שכאלה.