ירי בתוך הנגמ"ש: סין תקפה בסייבר את רוסיה

האקרים שפועלים בחסות סין תקפו בסייבר סוכנויות ממשל וספקיות IT רוסיות – כך לפי דו"ח חדש שפרסמה ענקית אבטחת הסייבר הרוסית קספרסקי. על פי החברה, שמוחרמת במערב, ההאקרים מסין הצליחו לזהם עשרות מחשבים ברוסיה בדלתות אחוריות ובסוסים טרויאניים, במתקפה שהחלה בסוף החודש שעבר.

החוקרים ציינו שלנוזקה שבה ההאקרים השתמשו לטובת מתקפות ממוקדות ומתמשכות – EastWind – יש קשרים לשתי קבוצות תקיפה סיניות: APT27 ו-APT31.

לאחר שהתוקפים הצליחו להשיג גישה ראשונית למכשירי הקורבנות שלהם, באמצעות מייל פישינג, הם השתמשו בשירותי ענן ואתרים שונים, בהם דרופבוקס, גיטהאב, Quora, לייב ג'ורנל (פלטפורמת בלוגים ומדיה חברתית רוסית פופולרית) ו-Yandex.Disk, כדי להטמיע את הנוזקה שלהם בשלט רחוק, ולתקוף עם עוד נוזקות במחשבים שנפגעו. שירותים אלה שימשו, הלכה למעשה, כשרתי פיקוד ושליטה (C2).

דלת אחורית "מרחרחת"

הודעות הפישינג שההאקרים שלחו לקורבנותיהם כללו קבצים מצורפים, שמכילים קיצור דרך של Windows, יחד עם מסמך שנועד לפיתוי, שמכיל קבצים לגיטימיים וזדוניים יחד. אלה כללו ספריות זדוניות, כדי להוריד דלת אחורית לדרופבוקס. ברגע שנוצר קשר עם שירות האחסון בענן, הדלת האחורית מבצעת פקודות, "מרחרחת" ומורידה עוד נוזקות. אחת מהן היא סוס טרויאני, שהחוקרים קישרו ל-APT31 במהלך מסע מתקפה שנערך בשנים 2021 ו-2023 – אותו כינו חוקרי קספרסקי GrewApacha.

בנוסף ל-GrewApacha, התוקפים הורידו את הדלת האחורית של CloudSorcerer. קספרסקי דיווחה על נוזקה זו בחודש שעבר, וציינה שמאז התוקפים שינו אותה לשימוש בדפי פרופיל ברשת החברתית בשפה הרוסית לייב ג'ורנל ובאתר השאלות-תשובות Quora – כשרתי ה-C2 הראשוניים.

שחקן איום שתקף הן ברוסיה והן בארצות הברית

CloudSorcerer, שחקן איום שזוהה כמי שתקף ארגונים רוסיים בקמפיין הנוכחי, זוהה גם במתקפה שנערכה בסוף חודש מאי נגד ארגון שיושב בארצות הברית – לפי פרופפוינט. "בקמפיין EastWind, ההאקרים השתמשו בשיטת הדבקה דומה לזו שתוארה על ידי חוקרי פרופפוינט לתקיפת הארגון באצרות הברית", ציינו חוקרי קספרסקי.

בניתוח הדגימות המעודכנות של CloudSorcerer, ציידי האיומים של קספרסקי גילו שהפושעים משתמשים בדלת האחורית הזו כדי להוריד עוד שתל נוזקה שלא היה ידוע קודם לכן – שתל שהם כינו PlugY. שתל זה מתחבר לשרת הפיקוד והשליטה, ואז ביכולתו לבצע שורה רחבה של פקודות, ביניהן מניפולציה על קבצים, רישום הקשות, ניטור מסכים ו-"חיטוט" בסביבת לוחות המקשים. דפוס תקיפה זה זוהה בעבר ככזה שפגע במחשבים של ארגוני ממשל ברוסיה.

"ניתוח השתל עדיין נמשך, אבל אנחנו יכולים להסיק במידה גבוהה של ביטחון שהקוד של הדלת האחורית של DRBControl, המכונה גם Clambling, שימש לפיתוחו", כתבו חוקרי קספרסקי. דלת אחורית זו נקשרה ל-APT27.

"לעתים קרובות, ההאקרים שפועלים בחסות מדינות – מאוחדים"

APT27 פעילה לפחות מאז 2010 ותקפה בסייבר ארגונים ממגזרים רבים – תעופה וחלל, ממשלה, ביטחון והגנה, טכנולוגיה, אנרגיה, ייצור והימורים. ב-2022 היא תקפה בית מחוקקים באחת ממדינות ארצות הברית, על ידי ניצול הפגיעות הידועה Log4j.

החוקרים סיכמו בציינם כי "העובדה שמסע התקיפה של EastWind השתמש בנוזקה שדומה לדוגמאות ששימשו את שתי קבוצת התקיפה מראה בבירור שלעתים קרובות, האקרים שפועלים בחסות מדינות לאום מתאחדים, חולקים ידע וכלים באופן פעיל".