תיראו מופתעים: רוסיה מרגלת בסייבר אחרי המערב – במשך שנים

האקרים משירות ביון החוץ של רוסיה (SVR) מרגלים אחרי ישויות אמריקניות, אירופיות וגלובליות במשך שנים, כדי לאסוף מודיעין ולאפשר מתקפות סייבר עתידיות – כך לפי התרעה חדשה שהוציאו סוכנויות מודיעין מערביות.

את ההודעה המשותפת, שפורסמה בסוף השבוע, הנפיקו-הזהירו ארבע סוכנויות ממשלתיות: ה-FBI, ה-NSA וכוח המשימה הלאומי לסייבר (CNMF) – שלושתן מארצות הברית, וכן המרכז הלאומי לאבטחת סייבר של בריטניה (NCSC).

בהתרעה נכתב כי יש להיזהר מפני קמפיין ריגול סייבר מתמשך של APT29. קבוצת האקרים זו ידועה גם בשמות סופת שלג בחצות הליל (Midnight Blizzard), דובי חמים ונעים (Cozy Bear) ונובליום (Nobelium). הקבוצה, המקושרת ל-SVR, קשורה לעתים גם ל-FSB – שירות הביטחון הפדרלי הרוסי, ה-"יורש" של הקג"ב.

מסע הריגול החל ב-2021 לכל המאוחר, ותרם למאמץ של רוסיה במלחמתה באוקראינה, מאז שפרצה בפברואר 2022.

הארגונים שהותקפו כללו ישויות ממשלתיות ודיפלומטיות, חברות טכנולוגיה, צוותי מחקר וחשיבה, ארגונים בינלאומיים וקבלני ביטחון מצפון אמריקה ומערב אירופה. כמה ארגונים מהמגזר הציבורי והפרטי באסיה, אפריקה, דרום אמריקה ומהמדינות השכנות של רוסיה – הותקפו גם הם.

המטרה העיקרית של קמפיין מתמשך רחב היקף זה, ציינו סוכנויות הביון במערב, היא "לאסוף מודיעין זר ונתונים טכניים, ולבסס גישה שתאפשר את הפגיעות הבאות בשרשרת האספקה בקרב הקורבנות".

מהן הטקטיקות והטכניקות של APT29?

בהתרעה פורטו הטקטיקות והטכניקות של APT29: בדרך כלל, זה מתחיל בסריקת מערכות המקושרות לאינטרנט, בחיפוש אחר פגיעויות שלא תוקנו. או אז, ההאקרים מנצלים חולשות שנחשפו בפומבי באתרים ובפורמים מקצועיים, כגון JetBrains ,TeamCity או Zimbra, מכשירי רשת כמו Citrix NetScaler Gateway או תוכנות מסחריות, דוגמת גוגל כרום ומיקרוסופט טימס.

טכניקות אחרות כוללות פישינג ממוקד, ריסוס סיסמאות, ניצול לרעה של שרשרת האספקה, משלוח נוזקות מותאמות אישית, ניצול פרצות ודרכי גישה בענן, וכן טכניקות מגורים מחוץ לאדמה (LotL). לצד הרצון לקבל גישה ראשונית, ההאקרים פועלים כדי להסלים הרשאות, לנוע לרוחב מערכות הארגון, להישאר ברשתות הקורבנות באופן רציף – בקרקע וגם בסביבות ענן, ואז לקצור מידע.

עוד ציינו סוכנויות המודיעין המערביות כי חברי APT29 משתמשים לעתים קרובות ברשת TOR, בתשתית ובשרתי פרוקסי מושכרים, או כאלה שנפרצו – וזאת על מנת לטשטש את פעילותם.

"כשב-SVR חושדים שהחדירות שלהם זוהו על ידי הקורבן, או על ידי רשויות אכיפת החוק, הם מנסים להרוס במהירות את התשתית שלהם ומצניעים או משמידים כל ראיה לכך. כדי להישאר בלתי מזוהים, הם משתמשים, לעתים קרובות, בכלים ובתוכנות שכבר נמצאים ברשתות הקורבנות. זאת, כדי להימנע מגילוי על ידי תוכנות אנטי וירוס", נכתב בהודעה.

הסוכנויות סיימו את הודעתן בשורה של המלצות ליישום, כדי להפחית את איום הריגול בסייבר: עדיפות לפריסה מהירה של תיקונים ועדכוני תוכנה; הפעלת עדכונים אוטומטיים במידת האפשר; השבתת שירותים נגישים לאינטרנט, שאינם בשימוש – מתחנות העבודה ומסביבות הפיתוח, או הגבלת הגישה רק לרשתות מהימנות; בדיקת יציאות פתוחות ופרוטוקולים מיושנים, או כאלה שאינם בשימוש; בידוד שירותים המקושרים לאינטרנט, להפחתת החשיפה של רשתות פנימיות; אכיפת אימות רב גורמי (MFA); עריכת ביקורת קבועה על חשבונות ויישומים מבוססי ענן, וזיהוי פעילות חריגה; וכן הגבלת משך חיי הגישה לאסימונים וניטור ראיות לשימוש חוזר באסימונים.

אזהרות של מיקרוסופט

ביוני האחרון, מיקרוסופט שלחה הודעה שנייה, חדשה, לעוד לקוחות שלה, ובה הזהירה אותם כי קבוצת האקרים רוסית השיגה גישה לרשומות המייל שלהם.

הפריצה התרחשה בסוף נובמבר 2023 והענקית מרדמונד זיהתה אותה בינואר השנה. היא מסרה כי הקבוצה, שפועלת בחסות הקרמלין, השיגה גישה לכמה חשבונות מייל של תאגידים, כהמשך לגישה שהושגה ל-"בכירה בהנהלת החברה שלנו, חברי צוות אבטחת הסייבר, וכן פונקציות משפטיות ואחרות". כמה סוכנויות ממשל אמריקניות הושפעו מהאירוע.

כמו כן, מיקרוסופט הודיעה בחודש מרץ השנה כי קבוצת ההאקרים ניסתה לפרוץ למערכות שלה באמצעות נתונים שנגנבו בפריצה קודמת, מחודש ינואר. "ייתכן שחברי הקבוצה משתמשים במידע שהשיגו (בעבר – י"ה) כדי לשפר את יכולת התקיפה שלהם. הפעילות הזו משקפת את מה שהפך באופן רחב יותר לנוף איומים גלובלי – חסר תקדים", מסרה אז הענקית מרדמונד.

אנליסטים הביעו דאגה בנוגע לאבטחת השירותים והמערכות של מיקרוסופט, המספקת שירותי דיגיטל ותשתיות IT לממשל האמריקני.

בינואר השנה, HPE חשפה כי נפגעה ממתקפה של Midnight Blizzard בשנה שעברה. זמן מה לאחר חשיפת הפריצה לסולארווינדס קבעו גורמי ביון מערביים כי הקבוצה היא האחראית למתקפת הסייבר הענקית, אף שמוסקבה, כצפוי, הכחישה זאת. הקבוצה הייתה מעורבת גם בפריצה למחשבי המפלגה הדמוקרטית בארצות הברית במהלך המרוץ לנשיאות ב-2016.