עוד יום, עוד מתקפה: נחשפה קבוצת ריגול חדשה המכוונת לממשלות ולצבאות
חוקרי סימנטק גילו קבוצת סייבר חדשה המכונה Gallmaker שביצעה מתקפות ממוקדות נגד מטרות דיפלומטיות באירופה ומטרות צבאיות וביטחוניות במזרח התיכון
חוקרי סימנטק גילו בימים אלו קבוצה חדשה של האקרים אשר ביצעה מתקפות ריגול ממוקדות כנגד מטרות שונות כגון שגרירויות בחו"ל במדינה מזרח אירופית, כמו גם כנגד מטרות צבאיות וביטחוניות במזרח התיכון.
על פי החוקרים, נראה כי קבוצת הסייבר החדשה התמקדה בשנה האחרונה בעריכת מתקפות כנגד ארגונים ממשלתיים וצבאיים כחלק ממסע הריגול בסייבר שערכה. את קבוצת הסייבר החדשה הם כינו Gallmaker ולדבריהם הקבוצה פועלת, ככל הנראה, בחסות מדינה.
"נראה כי פעילותה של קבוצת ההאקרים מכוונת היטב כאשר קורבנותיה קשורים כולם למגזרים ממשלתיים, צבאיים או ביטחוניים", נכתב בהודעה בבלוג של סימנטק, בה צוין כי המתקפות "אינן אקראיות או מקריות".
"סביר להניח שפעילותה נעשית בשליחות ובחסות מדינה"
על פי החוקרים, "פעילות הקבוצה מצביעה על כך שהיא עורכת מסעות ריגול בסייבר וסביר להניח שפעילותה נעשית בשליחות ובחסות מדינה".
החוקרים זיהו בראשונה את פעילותה של Gallmaker בדצמבר 2017 והפעם האחרונה שתקיפה שלה זוהתה הייתה ביוני 2018.
לדברי החברה, ההתקפות של קבוצת ההאקרים קשות לגילוי משום שהיא משתמשת בטקטיקות של "חיים מחוץ לארץ" ובכלי פריצה הזמינים לציבור, מה שמקשה מאד לאתר את פעילותה. החוקרים ציינו עוד שהאקרים משתמשים יותר ויותר בטקטיקות הסתתרות אלו כיוון שהן עוזרות להם להסתיר את פעולות הריגול, כמו גם לזהות אותם.
"אחת הסיבות העיקריות לפופולריות הגוברת של כלים אלה היא להימנע מהזדהות. התוקפים מקווים שלא להתגלות, בכך שהם פועלים לכאורה באופן גלוי, ומסגרת ים של תהליכים לגיטימיים, הם מסתירים את הפעילות הזדונית שלהם", נכתב עוד בבלוג.
ביצוע מתקפות פישינג במייל
המתקפות לא כללו שימוש ברוגלות, אלא ביצוע מתקפות פישינג במייל. הודעות הדוא"ל המתחזות שימשו למסירת מסמכים עם כותרות נושא במייל הקשורות לנושאים ממשלתיים, צבאיים או דיפלומטיים. המסמכים תוארו על ידי החוקרים כ"לא מתוחכמים מאוד", והם נועדו להיות מעניינים יעדים במזרח אירופה – ולמרות זאת נראה שהם הצליחו בכך.
חוקרי ענקית האבטחה לא ציינו את זהות המדינה המממנת את פעילות הקבוצה. לא ברור אם במהלך המתקפות ההאקרים הצליחו לגנוב מידע. מה שכן ידוע הוא שבתקופה שבין סוף שנת 2017 עד יוני השנה, התגלו כעשרים מתקפות שזוהו ככאלו שבוצעו על ידי קבוצת ההאקרים, כאשר מחציתן – נערכו באפריל השנה.
סימנטק אמרה כי טכנולוגיית Targeted Attack Analytics שלה, המשתמשת באינטליגנציה מלאכותית מתקדמת ובלמידה ממוחשבת כדי לאתר תקיפות סייבר, סייעה לצוות המומחים שלה לזהות את Gallmaker.
איזה גוף פרטי יקים קבוצת סייבר תקיפה ? ברור שכל ההאקרים הם בחסות מדינות ושייכים לגופי הביון והריגול, הצביעות הזאת של כל הממשלות להילחם בסייבר, זה מגוחכת, זה הם שמייצרים את התקפות הסייבר, אף אזרחמן השורה לא קם בבוקר וחושב לתקוף מדינה אחרת