מיקרוסופט: רוסיה, איראן, צפון קוריאה וסין מפעילות האקרים שמנסים לחדור לשרשראות האספקה
על פי דוח חדש של מרכז איומי הסייבר של החברה, כמעט 80% מהמתקפות כוונו נגד סוכנויות ממשלתיות, צוותי חשיבה וארגונים ללא מטרת רווח. ישראל היא קורבן של 2% מכלל ניסיונות המתקפות העולמיות
מנדי קוגוסובסקי
| 27/10/2021
REUTERS/Sergio Flores
מרכז מודיעין איומי הסייבר של מיקרוסופט פרסם השבוע שני דוחות חדשים בנוגע לאיומים גיאופוליטיים במרחב המקוון – אחד שבחן את פעילותה האחרונה של הקבוצה הרוסית הזדונית ״נובליום״, ושני שבחן באופן כללי מטרות ודרכי פעולה של שחקני מדינות לאום. ״המטרות של שחקנים כאלה – בעיקר ריגול ושיבוש – נותרות עקביות״, כתבו החוקרים, ״עם זאת, שיטת פעולה נפוצה השנה בקרב שחקני הלאום הוא התמקדות מוגברת בספקי שירותי IT כדרך לניצול לקוחותיהם״ ולחדירה לשרשראות האספקה.
לדברי החוקרים, כמעט 80% מהמתקפות שבוצעו על ידי שחקני מדינות לאום (או הנחשדות ככאלה) כוונו נגד סוכנויות ממשלתיות, צוותי חשיבה וארגונים ללא מטרת רווח. הם מציינים במיוחד את נובליום הרוסית, הפניום הסינית, תאליום הצפון קוריאנית, ופוספורוס (APT35) האיראנית. המדינה המטורגטת ביותר היא ארה״ב (46% מהמתקפות) כאשר מאחוריה נמצאות אוקראינה (19%), ובריטניה (9%). גם ישראל מופיעה ברשימה, כקורבן ל-2% מניסיונות המתקפות.
מתוך דוח איומי הסייבר של מיקרוסופט
קבוצת נובליום (הידועה גם כ- APT29, Cozy Bear, SolarStorm ועוד – תלוי בחברת מודיעין הסייבר שעוקבת אחרי הפעילות), היא אחת הקבוצות המרכזיות העומדת במוקד המתיחות בין ארה״ב לרוסיה, והיא עומדת מאחורי המתקפה על SolarWinds אשתקד. בכירי קהיליות המודיעין והסייבר בארה״ב מאמינים שהקבוצה פועלת משטחי רוסיה ובחסות הממשל – ומופעלת ספציפית על ידי שירות ביון החוץ הרוסי, ה-SVR, טענות שמוסקבה מכחישה.
החוקרים מדווחים כי החל במאי השנה נצפתה פעילות ממוקדת על מאות חברות המספקות שירותי ענן ושירותי IT ארגוניים נוספים, בעיקר בצפון אמריקה ובאירופה. הסברה היא שהקבוצה ״פתחה בקמפיין נגד ארגונים כאלה על מנת לנצל לרעה את יחסי האמון הטכניים בין החברות לבין הממשלות, מכוני המחקר והחברות האחרות אותן הן משרתות״. שיטת הפעולה: תנועה ״במורד הזרם״ של שרשרת האספקה, תוך ביצוע מתקפות נוספות.
עוד מזהירה מיקרוסופט, כי המתקפות אינן נגרמות בשל חולשת אבטחה, כי אם בשל עוצמתה של נובליום, המשתמשת בארגז כלים מגוון הכולל שלל תכנות זדוניות ודרכי פעולה שונות כמו דיוג חנית, ריסוס ססמאות, גניבת אסימונים דיגיטליים ועוד. עם זאת, מדגישים החוקרים שמרבית המתקפות לא צלחו – בדומה לגל הפעילות האחרון של הקבוצה עליו דווח במהלך הקיץ.
איראן מתמקדת בחברות לוגיסטיקה ימית
החוקרים התייחסו גם להבדלי המטרות והמיקוד של קבוצות הלאום השונות. הפניום הסינית, למשל, פועלת בעיקר משרתים וירטואליים מושכרים ברחבי ארה״ב ומכוונת למספר מגזרי תעשייה, בכללם מוסדות להשכלה גבוהה, ארגונים א-ממשלתיים, צוותי חשיבה פוליטיים, וחוקרי מחלות זיהומיות. מטרתה העיקרית היא איסוף תובנות לגבי שינויי מדיניות בנוף הפוליטי האמריקני. הקבוצות הצפון קוריאניות ״התמקדו בעיקר בחברות תרופות וחוקרי חיסונים, וכן בחברות פיננסיות על מנת לגנוב מטבעות קריפטוגרפיים וקניין רוחני״. רשויות החוק והמודיעין האמריקניות מודעות היטב לפשיעת הסייבר הגוברת של קוריאה הצפונית ולניסיונותיה להלבין כספים ולחמוק מהסנקציות המוטלות עליה באמצעות שימוש במטבעות מבוזרים.
בנוגע לאיראן, חוזרים החוקרים על מסקנותיהם בנוגע לקבוצה הזדונית רובידיום, שלדבריהם ״הייתה מעורבת במתקפות הכופרה של Pay2Key4 ו-N3tw0rm5 שכוונו לישראל בסוף 2020 ותחילת 2021״, ומוסיפים כי ״מרכיב נפוץ במתקפות הסייבר של קבוצות מדינת הלאום האיראנית הן טרגוט חברות לוגיסטיקה ישראליות המעורבות בתחבורה ימית״. עם זאת, מציינים החוקרים, כי ״למרות הגישה האגרסיבית פחות של טהרן כלפי ארה״ב בעקבות הבחירות שנערכו בשנה שעברה, גופים אמריקניים נותרו היעד העליון של קבוצות האיום האיראניות, כמעט מחצית״.
על פי דוח חדש של מרכז איומי הסייבר של החברה, כמעט 80% מהמתקפות כוונו נגד סוכנויות ממשלתיות, צוותי חשיבה וארגונים ללא מטרת רווח. ישראל היא קורבן של 2% מכלל ניסיונות המתקפות העולמיות
REUTERS/Sergio Flores
מרכז מודיעין איומי הסייבר של מיקרוסופט פרסם השבוע שני דוחות חדשים בנוגע לאיומים גיאופוליטיים במרחב המקוון – אחד שבחן את פעילותה האחרונה של הקבוצה הרוסית הזדונית ״נובליום״, ושני שבחן באופן כללי מטרות ודרכי פעולה של שחקני מדינות לאום. ״המטרות של שחקנים כאלה – בעיקר ריגול ושיבוש – נותרות עקביות״, כתבו החוקרים, ״עם זאת, שיטת פעולה נפוצה השנה בקרב שחקני הלאום הוא התמקדות מוגברת בספקי שירותי IT כדרך לניצול לקוחותיהם״ ולחדירה לשרשראות האספקה.
לדברי החוקרים, כמעט 80% מהמתקפות שבוצעו על ידי שחקני מדינות לאום (או הנחשדות ככאלה) כוונו נגד סוכנויות ממשלתיות, צוותי חשיבה וארגונים ללא מטרת רווח. הם מציינים במיוחד את נובליום הרוסית, הפניום הסינית, תאליום הצפון קוריאנית, ופוספורוס (APT35) האיראנית. המדינה המטורגטת ביותר היא ארה״ב (46% מהמתקפות) כאשר מאחוריה נמצאות אוקראינה (19%), ובריטניה (9%). גם ישראל מופיעה ברשימה, כקורבן ל-2% מניסיונות המתקפות.
מתוך דוח איומי הסייבר של מיקרוסופט
קבוצת נובליום (הידועה גם כ- APT29, Cozy Bear, SolarStorm ועוד – תלוי בחברת מודיעין הסייבר שעוקבת אחרי הפעילות), היא אחת הקבוצות המרכזיות העומדת במוקד המתיחות בין ארה״ב לרוסיה, והיא עומדת מאחורי המתקפה על SolarWinds אשתקד. בכירי קהיליות המודיעין והסייבר בארה״ב מאמינים שהקבוצה פועלת משטחי רוסיה ובחסות הממשל – ומופעלת ספציפית על ידי שירות ביון החוץ הרוסי, ה-SVR, טענות שמוסקבה מכחישה.
החוקרים מדווחים כי החל במאי השנה נצפתה פעילות ממוקדת על מאות חברות המספקות שירותי ענן ושירותי IT ארגוניים נוספים, בעיקר בצפון אמריקה ובאירופה. הסברה היא שהקבוצה ״פתחה בקמפיין נגד ארגונים כאלה על מנת לנצל לרעה את יחסי האמון הטכניים בין החברות לבין הממשלות, מכוני המחקר והחברות האחרות אותן הן משרתות״. שיטת הפעולה: תנועה ״במורד הזרם״ של שרשרת האספקה, תוך ביצוע מתקפות נוספות.
עוד מזהירה מיקרוסופט, כי המתקפות אינן נגרמות בשל חולשת אבטחה, כי אם בשל עוצמתה של נובליום, המשתמשת בארגז כלים מגוון הכולל שלל תכנות זדוניות ודרכי פעולה שונות כמו דיוג חנית, ריסוס ססמאות, גניבת אסימונים דיגיטליים ועוד. עם זאת, מדגישים החוקרים שמרבית המתקפות לא צלחו – בדומה לגל הפעילות האחרון של הקבוצה עליו דווח במהלך הקיץ.
איראן מתמקדת בחברות לוגיסטיקה ימית
החוקרים התייחסו גם להבדלי המטרות והמיקוד של קבוצות הלאום השונות. הפניום הסינית, למשל, פועלת בעיקר משרתים וירטואליים מושכרים ברחבי ארה״ב ומכוונת למספר מגזרי תעשייה, בכללם מוסדות להשכלה גבוהה, ארגונים א-ממשלתיים, צוותי חשיבה פוליטיים, וחוקרי מחלות זיהומיות. מטרתה העיקרית היא איסוף תובנות לגבי שינויי מדיניות בנוף הפוליטי האמריקני. הקבוצות הצפון קוריאניות ״התמקדו בעיקר בחברות תרופות וחוקרי חיסונים, וכן בחברות פיננסיות על מנת לגנוב מטבעות קריפטוגרפיים וקניין רוחני״. רשויות החוק והמודיעין האמריקניות מודעות היטב לפשיעת הסייבר הגוברת של קוריאה הצפונית ולניסיונותיה להלבין כספים ולחמוק מהסנקציות המוטלות עליה באמצעות שימוש במטבעות מבוזרים.
בנוגע לאיראן, חוזרים החוקרים על מסקנותיהם בנוגע לקבוצה הזדונית רובידיום, שלדבריהם ״הייתה מעורבת במתקפות הכופרה של Pay2Key4 ו-N3tw0rm5 שכוונו לישראל בסוף 2020 ותחילת 2021״, ומוסיפים כי ״מרכיב נפוץ במתקפות הסייבר של קבוצות מדינת הלאום האיראנית הן טרגוט חברות לוגיסטיקה ישראליות המעורבות בתחבורה ימית״. עם זאת, מציינים החוקרים, כי ״למרות הגישה האגרסיבית פחות של טהרן כלפי ארה״ב בעקבות הבחירות שנערכו בשנה שעברה, גופים אמריקניים נותרו היעד העליון של קבוצות האיום האיראניות, כמעט מחצית״.
