חולשה ב-Windows נוצלה על ידי 11 קבוצות בחסות מדינה

פרצת סייבר שהתגלתה באחרונה במערכת ההפעלה Windows של מיקרוסופט נוצלה באופן פעיל מאז 2017 על ידי 11 קבוצות איום הפועלות בחסות מדינה – מצפון קוריאה, איראן, רוסיה וסין. את החולשה ניצלו כנופיות פשע מאורגן, שערכו מבצעי הונאות בסייבר והשתמשו במערכות תשלום מבוססות בינה מלאכותית. אלה סייעו להן להתמקד בקורבנות, ולהגדיל במהירות ובעלויות זולות יותר את הפעילות ההתקפית שלהן.

צוות ציד האיומים של "יוזמת יום אפס" הבינלאומית מבית טרנד מיקרו, Trend Zero Day Initiative (ZDI), סימן את הפגיעות כ-ZDI-CAN-25373. לדברי החוקרים, היא משפיעה על קבצי Windows Shell Link (.lnk), ונעשה בה שימוש בעיקר לריגול בסייבר ולגניבת נתונים.

כמעט 1,000 דגימות של קבצים זדוניים

המחקר חושף כמעט 1,000 דגימות של קבצי ink. זדוניים שניצלו את החולשה. אלא שחוקרי טרנד מיקרו העריכו שהמספר הכולל של ניסיונות הניצול גבוה בהרבה. למרות הסיכון המשמעותי הנשקף מפגיעות זו, מיקרוסופט סירבה לשחרר עבורה תיקון אבטחה. החולשה נחשפה בתוכנית פרס הפגמים (Bug bounty) של Trend ZDI.

ניתוח המתקפות העלה שהחולשה נוצלה לרעה, ובאופן נרחב, הן על ידי קבוצות APT (איום מתמשך מתקדם) בחסות מדינה והן על ידי קבוצות APT עצמאיות. המקור של כמעט מחצית מהמתקפות בחסות מדינה שניצלו פגיעות זו הוא בצפון קוריאה. המחקר אף הצביע על כך ששחקני איום צפון קוריאנים משתפים ביניהם – ולעתים קרובות – כלים וטכניקות, "מה שמדגיש את הרמה הגבוהה של שיתוף פעולה בתוכניות הסייבר של המדינה".

המניע העיקרי מאחורי מתקפות סייבר אלה הוא ריגול: כ-70% מהחדירות שזוהו כוונו לגניבת מידע. המניע לכ-20% מהמתקפות היה כלכלי. כמו כן, חלק מהקבוצות השתמשו בפשיעת סייבר כדי לממן מבצעי ריגול רחבים יותר.

"ארגונים בתעשיות רבות היוו מטרה להתקפות אלה", ציינו החוקרים. המגזרים שהיו בסיכון הגבוה ביותר הם: ממשלה, תעשייה, מוסדות פיננסיים, כולל פלטפורמות קריפטו, צוותי חשיבה וארגונים לא ממשלתיים, תקשורת, צבא וביטחון, ואנרגיה.