האקרים רוסים תקפו שגרירויות באמצעות GoogleDrive ו-DropBox

חוקרי Unit 42 של פאלו אלטו: "רוסיה מכוונת לשגרירויות של מדינות מערביות כדי לפרוס נוזקות באמצעות שירותי ענן"

ממשיכים לתקוף את המערב. האקרים רוסים.

קבוצת תקיפה מרוסיה עשתה שימוש בשירותי ענן מהימנים ולגיטימיים, דוגמת GoogleDrive ו-DropBox כדי לאחסן ולהפעיל נוזקות; כך לפי Unit 42, יחידת המודיעין והמחקר של פאלו אלטו.

את הקמפיין ביצעה קבוצת ההאקרים תחת השם Cloaked Ursula (אורסולה המכוסה), אבל היא מוכרת גם בשמות Nobelium, APT29, ו-Cozy Bear.

לפי חוקרי פאלו אלטו, השימוש בשירותי הענן אפשר לקבוצה לחמוק מגילוי, ולהשתמש בכלי Cobalt Strike במטרה לגנוב מידע. מדובר בכלי פופולרי ביותר בקרב האקרים, המאפשר להם לבחון את יכולות ההגנה של חברות, במקרה הקל, או לפרוץ למחשבים ולפרוס בהם נוזקות.

במסגרת קמפיין התקיפה ניסו ההאקרים לפתות את המשתמשים באמצעות כניסה למסמך אג'נדה לקראת פגישה קרובה עם שגריר של מדינה מערבית. החוקרים מעריכים, כי הקמפיין הזה – שבוצע בחודשים מאי ויוני השנה, כוון לכמה נציגויות דיפלומטיות מערביות, תוך התמקדות בשגרירויות זרות בפורטוגל ובברזיל.

בכמה מקרים, מסמכי ההתחזות הכילו קישור לקובץ HTML זדוני (EnvyScout) – שהוביל אותם לעוד קבצים זדוניים נוספים ברשת היעד, כולל מטען ה-Cobalt Strike.

תעשיית הסייבר מחשיבה את Cloaked Ursula כמזוהה עם ממשלת רוסיה. ההערכה מקבלת חיזוק כשבוחנים את הקורבנות של הקבוצה לאורך השנים: בשנת 2008 יוחסו לקבוצה קמפיינים של נוזקות נגד צ'צ'ניה ומדינות אחרות בגוש הסובייטי לשעבר. בשנת 2016 יוחסה לחברי הקבוצה הפריצה לוועדה הלאומית הדמוקרטית של ארצות הברית (DNC). בדצמבר 2020, תוכנת Orion של סולארווינדס (SolarWinds) לניטור ולניהול הרשת הארגונית הותקפה במה שנדמה כמתקפת הסייבר הגדולה בהיסטוריה. את המתקפה ערכה קבוצת APT29, שנתמכת על ידי ממשלת רוסיה. הקבוצה מקושרת ל-SVR, שירות ביון החוץ של רוסיה – אף שמוסקבה, כצפוי, הכחישה את הייחוס הזה, שנעשה על ידי גופים רשמיים בבריטניה ובארה"ב. הפריצה השפיעה על מאות ארגונים בעולם, בראשם מיקרוסופט ופייראיי – שחשפה אותה – ועל עשרות ארגונים פדרליים בארצות הברית.

"אנו מפרסמים את המידע כדי להעלות את המודעות לקמפיין הפעיל והמסוכן הזה, כך שגם ארגונים וגם ממשלות יהיו בכוננות גבוהה, במיוחד כיוון שהתוקפים משתמשים בהצפנה שיכולה לחמוק מזיהוי", ציינו החוקרים בדו"ח שפרסמו אתמול (ג'), "רוסיה מכוונת לשגרירויות של מדינות מערביות כדי לפרוס בהן נוזקות באמצעות שירותי ענן מהימנים. הקמפיינים האחרונים שבוצעו על ידי הקבוצה, תחת השם Cloaked Ursula – הם מהמתוחכמים שראינו. זוהי טקטיקה חדשה עבור הקבוצה והיא מאתגרת לזיהוי בשל הפופולריות של שירותי הענן האלה, כמו גם בשל העובדה שמיליוני לקוחות ברחבי העולם נותנים בהם אמון".

מ-Dropbox' נמסר, כי "אנו יכולים לאשר שעבדנו עם השותפים שלנו בתעשייה והחוקרים בעניין זה, והשבתנו חשבונות באופן מיידי. אם אנו מזהים משתמש כלשהו המפר את תנאי השירות שלנו, אנו נוקטים בפעולה מתאימה, שעשויה לכלול השעיה או השבתה של החשבון".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים