X

המטרה: דיפלומטים זרים - מיקרוסופט מזהירה מפני מתקפת סייבר בתמיכה רוסית

על פי מומחי ענקית הטכנולוגיה, גורמים רוסיים חדרו לשגרירויות זרות במדינה באמצעות כלי פישינג • הקמפיין מהווה סיכון חמור למשלחות דיפלומטיות וארגונים רגישים הפועלים במוסקבה

מערכת ישראל היום
, עודכן
0השמעה
מתקפת סייבר רוסית (אילוסטרציה). צילום: נוצר באמצעות בינה מלאכותית - Google AI Studio

צוות Microsoft Threat Intelligence חשף קמפיין ריגול סייברי מצד גורם מדיני-רוסי בשם Secret Blizzard, הממוקד בשגרירויות זרות במוסקבה. במסגרת הקמפיין, הקבוצה החדירה רוגלה בשם ApolloShadow, שנבנתה במיוחד על ידם, לתוך מערכות של נציגים דיפלומטיים במדינה.

נוזקה זו מסוגלת להתקין קוד המתחזה לתעודות של תוכנת האנטי-וירוס Kaspersky, במטרה לגרום למכשירים להאמין שהאתרים המופעלים על ידי התוקפים הם לגיטימיים. כך, מצליחים התוקפים להשיג דריסת רגל ממושכת במכשירים של גורמים דיפלומטיים, ככל הנראה לצרכי איסוף מודיעין.

מיקרוסופט. אנשי דיפלומטיה המשתמשים בספקי תקשורת מקומיים ברוסיה נמצאים בסיכון גבוה, צילום: רויטרס

הקמפיין, שפועל מאז 2024, מהווה סיכון חמור לשגרירויות, משלחות דיפלומטיות וארגונים רגישים הפועלים במוסקבה, במיוחד כאלה המשתמשים בשירותי תקשורת מקומיים.

סוכנות CISA האמריקנית מייחסת את Secret Blizzard ל"יחידה 16" בשירות הביטחון הפדרלי של רוסיה (FSB).

בעבר העריכו במיקרוסופט, כי הקבוצה פועלת בשטח רוסיה נגד גורמים זרים ומקומיים. כעת, זו הפעם הראשונה שבה החברה מאשרת כי לקבוצה יש יכולת לפעול ברמת ספקי שירותי אינטרנט. כלומר, אנשי דיפלומטיה המשתמשים בספקי תקשורת מקומיים ברוסיה נמצאים בסיכון גבוה, זאת משום ש-Secret Blizzard, פועלים מתוך תשתיות הספקים עצמם.

הקבוצה ככל הנראה נעזרת במערכות יירוט התקשורת של רוסיה, כגון SORM (מערכת לפעילות חקירה מבצעית), אשר לפי ההערכה ממלאות תפקיד מרכזי בפעילות הנוכחית, זאת בהתחשב בהיקפה הנרחב.

שימוש במערכות היירוט מאפשר לתוקפים להסיר את שכבת ההצפנה מהתקשורת באינטרנט, כך שרוב הגלישה של הקורבן נחשפת בטקסט גלוי. בעבר Secret Blizzard השתמשה בטכניקות דומות כדי להדביק משרדי חוץ במדינות אירופיות, באמצעות הונאת פישינג שהובילה להורדת תוכנת Flash מזויפת משרת שנשלט על ידם.

מיקרוסופט ממליצה לארגונים להגן על עצמם בכמה דרכים: העברת כלל תעבורת הרשת דרך חיבור מוצפן לרשת אמינה, או שימוש בספק אינטרנט חלופי במדינה שאינה שולטת בתשתיות הספק.

בנוסף, כדי להקשות על תוקפים ולעקוף אותם בזמן, חשוב לפעול לפי עקרון "המינימום ההכרחי" בהרשאות, כלומר לתת לכל משתמש את ההרשאות שהוא באמת צריך. כמו כן, כדאי להשתמש באימות דו-שלבי (MFA) ולבצע בדיקות שוטפות לחשבונות עם הרשאות גבוהות.

מתקפת סייבר רוסית (אילוסטרציה). מיקרוסופט ממליצה לארגונים להגן על עצמם, צילום: נוצר באמצעות בינה מלאכותית - Google AI Studio

כמו כן, מומלץ לא להשתמש בחשבונות ניהוליים שיש להם גישה לכל המערכת, ולהגביל את כמות המשתמשים שיש להם הרשאות ניהול מקומיות. בהמשך לכך, חשוב לבדוק באופן קבוע קבוצות שיש להן גישה ניהולית גבוהה כמו: אדמיניסטרטורים, Remote Desktop Users, וגם Enterprise Admins. תוקפים עלולים להוסיף את עצמם לקבוצות אלה כדי לשמור על גישה למערכת מבלי להתגלות.

צעדים אלה עוזרים לצמצם את האפשרויות שעומדות לרשות התוקפים, ומפחיתים את הסיכון שהתקיפה תתפשט בארגון. אף שקמפיין זה ממוקד בתוך רוסיה, ההגנה רלוונטית לכל ארגון, בכל מקום, המעוניין להפחית סיכון מול איומים דומים.

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו
מתקפת האקריםמתקפת סייברפישינגרוסיה

כדאי להכיר