אוקראינה: על אף שזו אינה הזירה העיקרית – המאבק בסייבר נמשך

מתקפות דיוג וכפרה חדשות, אתר הקרמלין שנפל, ג'ו ביידן שמוכן לפעול בסייבר, ואפילו פייסבוק שנערכה בהתאם - כל אירועי האבטחה והסייבר מסוף השבוע הראשון למלחמת רוסיה-אוקראינה

האם גם מידת ההצלחה של מתקפות הסייבר הרוסיות על אוקראינה דומה למה שקורה בשטח?

על רקע המלחמה בין רוסיה ואוקראינה, הנערכת בממד הקינטי, יש עוד מלחמה, בממד הקיברנטי.

לאחר שבחודש האחרון דיווחנו על כמה מתקפות סייבר רוסיות נגד אתרים וארגונים באוקראינה, אתמול (ש') הגיעה תגובת נגד.

אחר הצהריים אתר הקרמלין הופל, במסגרת מתקפת סייבר רחבת היקף נגד אתרי ממשל רוסיים. ארגון אנונימוס הודיע בסוף השבוע כי הוא מתגייס למאבק ברוסיה ויפעיל נגדה מתקפות סייבר. הבטיח, ואף קיים. ככל הנראה: כמה אתרים של כלי תקשורת רוסיים, הנמצאים תחת חסות הקרמלין, חוו מתקפות סייבר במהלך השבת. לא ברור האם המתקפה כנגד רוסיה אכן בוצעה על ידי הארגון, בידי גורמים מערביים, או – אוקראיניים.

חוקרי טרנד מיקרו זיהו בסוף השבוע מתקפות של נוזקות שכוונו אל ארגונים באוקראינה. המתקפות הן משני סוגים – מתקפת מניעת שירות מבוזרת, DDoS ומתקפות ממשפחת Wiper.

עוד זיהו החוקרים נוזקה חדשה, בשם Trojan.Win32.KILLDISK.YECBW. לדבריהם, הנוזקה מוחקת נתונים מכוננים פיזיים, כמו גם מכוננים לוגים. לאחר המחיקה, הנוזקה גורמת לאתחול המערכת המותקפת, ואף מוחקת את השירות שנוצר לאחר האתחול. עוד היא מביאה להשבתת ה-VSS – מנגנון גיבוי מובנה במערכות Windows, ששומר סנאפשוטים (snapshot) של מידע. כך, אם מוחקים את המנגנון האמור, אזי מוחקים גם את הגיבוי המובנה של המידע.

קונטי – האקרים התומכים ברוסיה שהתייצבו לעזרתה

קבוצת האקרים ה"מתמחים" במשלוח כופרות ששמה קונטי, ואשר ידועה כבעלת קשרים עם המודיעין הרוסי – שכבר תקפה ספקי שירותי בריאות ומאות ארגונים – פרסמה ביום ו' אזהרה ואמרה שהיא "מודיעה רשמית על תמיכה מלאה בממשלת רוסיה".

הכנופיה אמרה כי היא תשתמש "בכל המשאבים האפשריים כדי לפגוע בתשתיות הקריטיות של כל ישות שתארגן מתקפת סייבר, או כל פעילות מלחמתית נגד רוסיה". ההודעה הופיעה ביום ו' באתר בדארקנט, המשמש את קונטי לפרסום איומים או נתוני קורבנותיה. הכופרה, לפי CISA, הסוכנות לאבטחת תשתיות וסייבר בארה"ב, וה-FBI, לקחה חלק בפעילות של יותר מ-400 מתקפות נגד מטרות אמריקאיות, בין אביב 2020 לאביב 2021.

חוקרי מנדיאנט (Mandiant) העריכו בעבר כי "חלק מהשחקנים המעורבים במשלוח הכופרה נמצאים ברוסיה ולחלק מהפושעים הפועלים משם יש קשרים מתועדים עם מנגנון הביון הרוסי… צ'אטים שפורסמו הצביעו על כך ששחקן מפתח בפעולות קונטי התכוון לספק תמיכה לפרויקטים ממשלתיים (רוסיים)".

בסוף השבוע חוקרי מנדיאנט ציינו כי "השוק הפלילי של רוסיה הוא משאב שאולי הממשלה הרוסית נסמכת עליו בסכסוך הזה. ממשלת רוסיה יכולה לעבוד עם הקבוצות באופן ישיר, או לרכוש מהם שירותים, ובכל מקרה – לספק לשירותי המודיעין הרוסיים מרחב הכחשה בדבר הקשר ביניהם".

עוד קבוצת כופרה, בעלת השם CoomingProject (השגיאה במקור, י"ה) התחייבה גם היא "לעזור לממשלת רוסיה במקרה של התקפות סייבר כנגדה".

סייבר במקביל אליה. המלחמה הפיזית.

סייבר במקביל אליה. המלחמה הפיזית. צילום: BigStock

גם האקרים בלארוסים לוקחים חלק ב"החגיגה" 

פקידים בכירים אוקראינים הזהירו ביום ו' כי האקרים בלארוסים שולחים גל של הודעות דיוג, המכוונות לחיילים ואזרחים אוקראינים. ההודעות נשלחו לחשבונות המסתיימים ב-'i.ua' ו-'meta.ua'.

שתי כתובות האתרים שייכות לשירותי דוא"ל מבוססי אוקראינה.

ברגע שחשבון נפגע, ההאקרים מקבלים גישה להודעות של היעד הקורבן ולפרטי הקשר שלו, מה שמאפשר להם לשלוח מיילים נוספים של פישינג לאנשי הקשר שלהם.

בהודעה נפרדת, השירות הממלכתי של אוקראינה לתקשורת ולהגנה על מידע פרסם בסוף השבוע אזהרה על מתקפת דיוג נגד כתובות מייל אזרחיות, המכילות קבצים מצורפים שעלולים להיות זדוניים.

על פי אותם פקידים מאוקראינה, את קמפיין הפישינג עורכת קבוצת האקרים ממינסק, המכונה UNC1151, שלדעת כמה חברות אבטחה קשורה לממשלת בלארוס.

ממשלת אוקראינה קשרה בחודש שעבר את הקבוצה לשורה של מתקפות, שהביאו להשחתות של אתרי אינטרנט שלה.

חוקרי מנדיאנט הצליחו לקשור את התשתית, שדווחה על ידי ה-CERT האמריקני, ל-UNC1151. החוקרים אמרו כי המתקפות הללו נועדו לקדם נרטיבים פרו-רוסים ופרו-בלארוסים. בעבר הם קישרו את פעילות חברי UNC1151 למבצע השפעה מורכב וארוך שנים, אשר כוון כנגד לטביה, ליטא ופולין.

צפי למתקפות חדשות ומתוחכמות

ממשלת רוסיה הזהירה את מפעילי התשתית הקריטיים במדינה מפני "האיום של עלייה בעוצמת מתקפות מחשבים", ואמרה כי יש לשקול כל כשל בתפעול של תשתית קריטית בלא סיבה "מבוססת באופן מהימן" – כ"תוצאה של מתקפת מחשב". את האזהרה הנפיק מרכז התגובה והתיאום הלאומי לאירועי מחשב של רוסיה.

"המתקפות עלולות להיות מכוונות כדי לשבש את תפקודם של משאבי המידע והשירותים, ולגרום נזק למוניטין, כולל לשם מטרות פוליטיות", נכתב באזהרה. "יש להניח כי מטרת המתקפות היא לגרום להשפעות מזיקות במרחב המידע הרוסי וליצור דימוי שלילי של הפדרציה הרוסית בעיני הקהילה העולמית". האזהרה לא פירטה מהיכן יכולות להגיע התקפות כאלה.

ג'ו ביידן, נשיא ארה"ב, אמר בשבוע שעבר כי "אם רוסיה תמשיך במתקפות סייבר נגד חברות שלנו, ונגד התשתית הקריטית שלנו – אנחנו מוכנים להגיב. במשך חודשים אנחנו עובדים בשיתוף פעולה הדוק עם המגזר הפרטי, כדי להקשיח את הגנת הסייבר שלנו, ולחדד את התגובה שלנו גם כנגד מתקפות סייבר רוסיות".

ברשת NBC דיווחו כי בפני ביידן הוצג מגוון אפשרויות לביצוע התקפות סייבר מסיביות, שנועדו לשבש את יכולתה של רוסיה לקיים את הפעולות הצבאיות שלה באוקראינה". ג'ן פסקי, דוברת הבית הלבן, הכחישה את הדיווח ואמרה שהוא "אינו משקף את מה שנדון בפועל – בשום צורה".

פייסבוק השיקה בשבוע שעבר כלי המאפשר לאוקראינים, בלחיצה אחת, יכולת לנעול את חשבונותיהם. החברה פרסה את הכלי עבור החיילים האמריקנים ששהו באפגניסטן, בעת נסיגתם מהמדינה.

קיריל גלפנד, מנהל טכנולוגי בכיר בטרנד מיקרו ישראל.

קיריל גלפנד, מנהל טכנולוגי בכיר בטרנד מיקרו ישראל. צילום: יח"צ

לזהות ולהגיב למתקפת סייבר בכמה שכבות בתשתית הארגונית

קיריל גלפנד, מנהל טכנולוגי בכיר בטרנד מיקרו ישראל, אמר כי "יש לוודא שהמערכות מעודכנות, עם התיקונים והגרסאות העדכניות ביותר, שכן אלו הם חלקים קריטיים באבטחת משטח התקיפה הארגוני. עוד נדרש לוודא שהוגדרו פתרונות אבטחה בהתאם לשיטות העבודה המומלצות של הספק, כולל שימוש נרחב באימות רב-גורמי, MFA".

הוא הוסיף כי "היכולת לזהות ולהגיב למתקפת סייבר בכמה שכבות בתשתית הארגונית – היא דרישה בסיסית לניהול סיכוני סייבר. לכן, מומלץ להטמיע פתרון XDR באופן מיידי. בלא סוג זה של נראות ויכולת להגיב להתקפות – הסיכון עולה בצורה משמעותית. יש לשים לב לתעבורת רשת לא מזוהה, נכנסת ויוצאת, בשל צפי למתקפות דיוג חדשות ומתוחכמות". הוא סיים באומרו כי "נדרש לצמצם את משטח התקיפה, ולעשות זאת באמצעות טכניקות Zero Trust, ניהול זהויות, משתמשים, מכשירים, נכסי IT בענן ו-IoT".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים