ארה״ב הודיעה כי הצליחה לעצור את מתקפת הסייבר על USAID

על פי מיקרוסופט, מאחורי המתקפה עומדת קבוצת נובליום הרוסית, שגם אחראית למתקפה על SolarWinds בשנה שעברה. הבית הלבן מאשים את רוסיה גם במתקפה על חברת עיבוד הבשר JBS

ארה״ב הודיעה כי הצליחה לעצור את מתקפת הסייבר על USAID

הודעת הדוא״ל הזדונית, כפי שפורסמה באתר מיקרוסופט

מחלקת המשפטים האמריקנית הודיעה אמש (ג׳) כי איתרה כבר בשישי האחרון שני דומיינים זדוניים שביצעו פעולות דיוג-חנית (spear-phishing), באמצעות שליחת הודעות דוא״ל שהתחזו למסרים מהסוכנות האמריקנית לפיתוח בינ״ל – USAID, והפסיק את פעולתם. בשבוע שעבר, הוציאה מיקרוסופט אזהרה בנוגע למתקפה זו – אותה היא משייכת לנובליום, קבוצה זדונית רוסית העומדת, לפי הערכתה, מאחורי המתקפה על SolarWinds.

בשבוע שעבר, נשלחו הודעות דוא״ל זדוניות לכ-3000 עובדים בכ-150 גופים ממשלתיים בארה״ב ומחוצה לה (ב-24 מדינות לפחות), באמצעות חשבון פרוץ של חברה חיצונית, דרכה נשלחות הודעות שיווק של USAID. בגוף המייל, שכותרתו ״הודעה מיוחדת״, נמצא לינק שבאמצעות לחיצה הוביל להורדה של הנוזקה Cobalt Strike למחשב. מיקרוסופט הודיעה, כי לפחות רבע מהארגונים פועלים בתחומי פיתוח בינ״ל וזכויות אדם, וחלקם מביעים התנגדות להפרות המתבצעות נשיא רוסיה ולדימיר פוטין, והפנתה אצבע מאשימה.

״נובליום, במקור מרוסיה, היא אותו שחקן שעומד מאחורי המתקפה על לקוחות SolarWinds בשנת 2020״, נכתב באזהרת החברה. ״עושה רושם שהמתקפות הללו מהוות המשך של נובליום לטרגט חברות ממשלתיות הקשורות למדיניות חוץ, כחלק ממאמציה לאסוף מידע מודיעיני״. נובליום, שעל פי הערכות שונות מובלת ע״י סוכנויות הביון והביטחון של רוסיה, ידועה גם בשמות נוספים, כמו CozyBear ו-APT29.    

מחלקת המשפטים עדכנה כי למרות שהפסיקה את הפעילות הזדונית, ייתכן והתוקפים עוד הספיקו לפרוס דלתות אחוריות נוספות שלא נתפסו. עם זאת, מיקרוסופט דיווחה כי לא נראה שהתוקפים הצליחו לגרום לנזק משמעותי, תודות לפעילותן המוצלחת של תכנות הגנת הסייבר שחסמו את המתקפה באופן אוטומטי.     

״המבצע שערכנו מדגים את מחויבות המחלקה לשבש באופן יזום כל פעילות התקפית, עוד טרם סיום החקירה הפלילית״, מסר סגן התובע הכללי בחטיבת הביטחון הלאומי של מחלקת המשפטים, ג׳ון סי. דמרס. ממחלקת הסייבר של ה-FBI נמסר, כי ״נמשיך להשתמש בכל האמצעים העומדים לרשותנו ולמנף את השותפויות המקומיות והבינלאומיות שלנו לא רק כדי להמשיך לשבש מתקפות, אלא גם כדי להבהיר לאויבינו את הסיכונים וההשלכות, על מנת להילחם באיומים אלה״.

״כשמסתכלים על מתקפה זו בשילוב עם זו על SolarWinds, ברור שחלק מהאסטרטגיה של נובליום הוא להשיג גישה לספקים טכנולוגיים מהימנים ולפגוע בלקוחותיהם״, כתבה מיקרוסופט, והוסיפה כי ״אולי באופן לא מפתיע, פעילות נובליום ושחקנים דומים נוטות לעקוב אחר נושאים המדאיגים את המדינה ממנה הם פועלים. הפעם נובליום פנתה לארגונים הומניטרים. בשיאה של מגפת הקורונה, השחקן הרוסי סטרונטיום כיוון לארגוני בריאות המעורבים בחיסונים...וגילינו בעבר פעילויות המתמקדות בבחירות בארה״ב ובמקומות אחרים.

״זוהי דוגמא נוספת לאופן בו מתקפות סייבר הפכו לכלי המועדף של מספר גדל והולך של מדינות לאום למטרת הגשמת מגוון רחב של יעדים פוליטיים. אנו זקוקים לכללים ברורים שיסדירו את התנהלות מדינות הלאום במרחב הקיברנטי ולציפיות ברורות מההשלכות של הפרת כללים אלה״.

בתוך כך, אמרה אתמול סגנית דוברת הבית הלבן, קארין ז׳אן פייר, כי ההערכה היא שחקנים זדוניים המקושרים לרוסיה עומדים גם מאחורי המתקפה על חברת עיבוד הבשר JBS, שפגעה במערכות המידע שלה בצפון אמריקה ובאוסטרליה, וכי הממשל עומד בקשר ישיר עם הממשל הרוסי בנושא.