נמצא קשר בין שתי מתקפות סייבר גדולות
על פי חוקרי ESET, ישנן עדויות המקשרות בין קבוצת פושעי הסייבר TeleBots הידועה לשמצה, ובין נוזקת Industroyer, המסבה נזק ישיר למערכות בקרה תעשייתיות
העקבות של כופרת NotPetya ושל נוזקת Industroyer – מובילות לאותה קבוצת האקרים, כך על פי חוקרי ESET.
על פי החוקרים של ESET, נתגלו עדויות אשר מקשרות בין קבוצת פושעי הסייבר TeleBots הידועה לשמצה, ובין נוזקת Industroyer. זו היא הנוזקה הראשונה שמסוגלת להשפיע ישירות על מערכות בקרה תעשייתיות.
על פי החוקרים, זו הנוזקה המודרנית – ההרסנית ביותר הקיימת היום. כך, נוזקה זו אחראית להפסקת החשמל הגדולה בקייב, בירת אוקראינה, בשנת 2016. קבוצת TeleBots "הוכיחה את יכולותיה" באמצעות נוזקת NotPetya, אשר מצפינה את תוכנו של הכונן הקשיח בלא יכולת שחזור. היא שיבשה חלק גדול מהפעילות העסקית העולמית בשנת 2017. הקבוצה גם הוכיחה את הקשר שלה לנוזקת BlackEnergy, שהביאה להפסקת החשמל הראשונה באוקראינה שנגרמה בשל נוזקה. היא הקדימה את נוזקת Industroyer שגרמה להפסקת החשמל שהתרחשה שנה לאחר מכן.
"השערות בנוגע לקשר בין נוזקת Industroyer וקבוצת TeleBots החלו לעלות מיד לאחר ש-Industroyer פגעה ברשת החשמל של אוקראינה", אמר אנטון צ'רפנוב, חוקר של ESET, "עם זאת, לא נמצאה אף ראיה שתומכת בהשערות הללו – עד עכשיו".
תיעוד ממצאים מתוך מסמכי ESET. צילום: אתר ESET
כך, בחודש אפריל השנה, חוקרי ESET זיהו פעילות חדשה מצד קבוצת TeleBots: הקבוצה ניסתה להפיץ דלת אחורית חדשה, המזוהה על ידי ESET בשם Exaramel. הניתוח של החוקרים הצביע על כך שהדלת האחורית הזו היא גרסה משופרת של הדלת האחורית העיקרית שמשמשת את נוזקת Industroyer. כך, היה זה קצה החוט הראשון המקשר בין Industroyer ובין TeleBots.
תיעוד ממצאים מתוך מסמכי ESET. צילום: אתר ESET
חשוב לציין, ציינו החוקרים בבלוג שפרסמו כי "כאשר אנו מתארים 'קבוצות APT', אנו מציירים חיבורים המבוססים על אינדיקטורים טכניים, כגון דמיון משותף של שורות הקוד בנוזקות, תשתיות משותפות לשליטה ובקרה על תשתיות, שרשראות המימוש של הנוזקה ועוד. בדרך כלל איננו מעורבים באופן ישיר בחקירה ובזיהוי של כותבי הנוזקה ומי זה שהטמיע אותה. יתר על כן, המונח 'קבוצת APT' מוגדר מאוד באופן רופף. זו גם אחת הסיבות לכך שאנו נמנעים מהספקולציות בנוגע לייחוס של המתקפות למדינות לאום ספציפיות".
תיעוד ממצאים מתוך מסמכי ESET. צילום: אתר ESET
"הגילוי של Exaramel העלה כי קבוצת TeleBots ממשיכה להיות פעילה ב-2018. הניתוח שלנו הצביע על כך שהדלת האחורית של TeleBots היא גרסה משופרת של הדלת האחורית של Industroyer. זו הייתה החוליה החסרה בטרם יכולנו לקבוע את הקשר בין השתיים", אמר צ'רפנוב, "מכל האמור לעיל – התוקפים ממשיכים לשפר את הכלים ואת הטקטיקות שלהם. נמשיך לנטר את הפעילות של הקבוצה הזו".
תגובות
(0)