מי את, קבוצת ההאקרים APT29?

בעוד שסוכנויות ממשל אמריקניות ואלפי חברות ברחבי העולם בודקות האם נפגעו ממתקפת הענק בסייבר שנחשפה לפני ימים אחדים, הרי שמומחי אבטחת מידע והגנה בסייבר חוששים שהיקף הפגיעה נרחב וחמור יותר, וטרם התגלה במלוא עוזו. אף שגופי הביון לא ציינו את זהות התוקפים, אלא רק כיוונו אצבע מאשימה כלפי רוסיה, חוקרים של חברות הגנה בסייבר תמימי דעים שמדובר באחת מקבוצות ההאקרים העקביות והמתוחכמות ביותר בתבל – APT29. הקבוצה נתמכת על ידי ממשלת רוסיה וידועה גם בשם דובי חמים ונעים – Cozy Bear.

מיהם אותם האקרים ערמומיים? כמו שהקורונה היא לא נגיף חדש, אבל רק לפני קצת פחות משנה הוא התחיל לשגע את העולם, כך גם קבוצת APT29 ידועה ותוקפת מזה זמן, אולם המתקפה האחרונה היא המתקפה שלה שגרמה לנזק הרב ביותר. ולא פלא: בעבר דווח שהיא מקושרת ל-SVR, שירות ביון החוץ של רוסיה, ולעתים גם ל-FSB, שירות הביטחון הפדרלי – ה-"יורש" של הקג"ב. הקבוצה ידועה לשמצה בכך שהיא מפעילה מאמצים רב כיווניים ובשל העובדה שהיא לא נסוגה מפעולות ריגול, גם לאחר שאלה מתגלות.

השלטון הרוסי – הגוף שמאחורי APT29. אילוסטרציה: BigStock

מומחי אבטחה ציינו כי APT29 התאמצה במשך שנים להסתיר את פעילותה, ולפעמים היא מפעילה פעולות ריגול שנמשכות שנים. "מדובר ביריב סבלני, בעל משאבים טובים, שפועל באופן ממוקד ושמקיים פעילות ארוכת טווח ברשתות של הקורבנות", הזהירו בסוף השבוע אנשי CISA – הסוכנות לאבטחת סייבר ותשתיות במשרד להגנת המולדת בארצות הברית. הם העריכו כי "הסרת שחקן האיום הזה מסביבות שנפגעו תהיה מורכבת ומאתגרת ביותר עבור ארגונים". ככלל, חוקרי אבטחה ציינו כי מעקב אחר התנהגויות APT29 עלול להיות קשה יותר בהשוואה למאמצים לעקוב אחר קבוצות פריצה אחרות המקושרות לממשל הרוסי, בין השאר משום שהם משפצים באופן קבוע את דפוסי הפעולה והתקיפה שלהם.

מהלך המתקפה הנוכחית

להלן לוח הזמנים למתקפת הענק, שבוושינגטון, כמו גם ארגונים רבים ברחבי העולם, מלקקים בימים אלה את הפצעים ממנה: לפני שבועיים בדיוק, ב-7 בדצמבר, פרסמה CISA כי תוקפים רוסיים עושים שימוש בחולשה שאותרה במוצרי VMware. למחרת הודיעה פייראיי כי היא נפרצה על ידי האקרים, שגנבו ממנה כלי תקיפה של "צוות אדום". ב-13 בחודש, פייראיי הטילה פצצה, כשהודיעה שהנגישות לרשת החברה התאפשרה כתוצאה מהתקנת דלת אחורית באוריון, כלי ניטור רשת של סולארווינדס – מה שהביא למתקפה על שרשרת האספקה. לפי סולארווינדס, התקיפה החלה מהחולשה ב-VMware, אולם ענקית הווירטואליזציה הכחישה זאת.

האם זו באמת קבוצה?

חוקרי ESET טוענים טיעון מעניין על APT29: "אנחנו מאמינים שהקבוצה מורכבת מכמה תתי-קבוצות, שלכל אחת מהן יש יעדים וכלים שונים, מה שמקשה על הייחוס שלהן – גם אם לפעמים הן חולקות משימות או כלי תקיפה. ברור שהקבוצה רחוקה מלהיות מונוליטית".

על פי ענקית האבטחה, חברי הקבוצה נוטים להטמיע כמה נוזקות על אותה מכונה, כך שכאשר מתגלה אחת מהן הם משתמשים שוב ב-"שאריות" על מנת להשתלט מחדש על המכונה. הם ציינו כי "APT29 נוטה להישאר בפרופיל נמוך ככל האפשר, על מנת לבסס בהתמדה במשך שנים את החדירה לרשתות היעד שלה". כך קרה בעבר, הוסיפו, כשחברי APT29 ניהלו פעולות ריגול ארוכות שנים על מערכות מחשוב של משרדי החוץ של יותר משלוש מדינות אירופיות. בקמפיין זה, ההאקרים הדביקו מחדש כמה מכונות באמצעות כלי תוכנה שמאפשר תנועה רוחבית ברשתות הארגון המותקף.

Cozy Baer – השם של הקבוצה תמים, הפעולות שלה – ממש לא. צילום אילוסטרציה: BigStock

חוקרי F-Secure ציינו שחלק ניכר מהכלים של הקבוצה מיוצרים בהתאמה אישית ודורשים מפתחים ומפעילים שונים לבניית קמפיינים מוצלחים לתקיפה בסייבר. גם הם הוסיפו שהקבוצה עשויה לחלק את עצמה לקבוצות משנה, כדי לטפל במשימותיה המורכבות.

מה כולל ה-"רזומה" של ההאקרים?

לפניכם כמה מהפעולות ש-APT29, או דובי חמים ונעים, ביצעה: באוגוסט 2015 היא נקשרה למתקפת פישינג נגד מערכת המייל של הפנטגון, וגרמה לסגירתן במהלך החקירה של מערכת הדואר האלקטרוני הלא מסווגת והגישה לאינטרנט. היא גם הייתה אחת משתי קבוצות ההאקרים הרוסיות שפרצו למחשבי הוועידה הלאומית הדמוקרטית לפני הבחירות לבית הלבן ב-2016.

בפברואר 2017 דיווח שירות הביטחון של המשטרה הנורבגית (PST) כי חודש לפני כן נעשו ניסיונות לתקיפת פישינג-חנית (Spear Phishing) בחשבונות המייל של תשעה אנשים במשרדי הביטחון והחוץ ובמפלגת העבודה במדינה. המעשים יוחסו לקבוצה, שמטרותיה כללו את הרשות הנורבגית להגנת הקרינה, ראש מדור ה-PST, ארן כריסטיאן האוגסטויל, ועוד. ראש הממשלה, ארנה סולברג, כינה את המעשים "מתקפה חמורה על המוסדות הדמוקרטיים שלנו".

ביולי השנה האשימו שלושה גופים פדרליים אמריקניים את APT29 בניסיון לגנוב נתונים על חיסונים וטיפולים נגד נגיף הקורונה, המפותחים בבריטניה, ארצות הברית וקנדה.

כעת, חושדים גופי אכיפת החוק בארצות הברית, שחוקרים במרץ את המתקפה הנוכחית, כי בעת הפריצה לסולארווינדס, ההאקרים הכניסו דלת אחורית שמכונה Sunburst לתוכנות הניהול אוריון. זו משמשת עשרות אלפי ארגונים פרטיים וממשלות ברחבי העולם. כ-18 אלף מהם הורידו את עדכון התוכנה, שהכיל ספריית DLL חתומה בסרטיפיקט של סולארווינדס, שפתחה חיבור לשרת CNC וחשפה את הקורבנות לפרק זמן של יותר משלושה חודשים. מעקב אחר קריאות ה-IP שביצעו המכונות המודבקות העלה כי המתקפה השפיעה ברמות שונות על כמה מאות ארגונים, ביניהם עשרות ארגוני ממשל פדרלי, לרבות ארגונים וחברות מישראל.

אסף אמיר, ראש מחלקת המחקר של סנטינל וואן. צילום: יח"צ

"הסיפור הזה רק בתחילתו"

לדברי אסף אמיר, ראש מחלקת המחקר של סנטינל וואן, "אין ספק שהסיפור הזה רק בתחילתו ושמדובר במתקפה הגדולה ביותר שהעולם ידע מזה זמן רב. חקרנו את הדלת האחורית שהותקנה באוריון – מדובר בדלת אחורית ייחודית, שמתקשרת לשרת C2 מרכזי. כל דלת שמותקנת מבצעת כמה בדיקות התגוננות. בנוסף, הדלת חילקה את מוצרי האבטחה לשניים: כאלה שהיא משתיקה-מכבה וכאלה שבשל הימצאותם, היא לא פועלת. איתרנו כ-2,000 מקרי תקיפה בהם הדלת האחורית הפעילה כלי תקיפה וביצעה פעולות כלשהן ברשת של הקורבן. בארץ, איתרנו חברת אבטחת מידע גדולה ועוד כמה מוסדות אקדמיים".

"העקשנות של APT29 מזדקרת לא רק ברגע שהיא נמצאת בתוך רשת הקורבן, אלא גם בהתמדה בניסיונות לחדור, ולהישאר במערכות שהיא חודרת אליהן לאורך זמן", אמר ג'מיל ג'אפר, לשעבר חבר ועדת המודיעין בסנאט האמריקני. "תוקף כמו דובי חמים ונעים ישקיע את הזמן והאנרגיה כדי להיכנס לאן שהוא רוצה, גם אם הדבר ידרוש זמן רב ושימוש במשאבים רבים. אם זה יעד בעל ערך מספיק גבוה, הם יחכו – עד שייכנסו".