צרפת: הקבוצה שתקפה את SolarWinds פועלת גם נגדנו
סוכנות אבטחת הסייבר הלאומית הצרפתית הודיעה כי איתרה קמפיינים זדוניים התואמים את השיטות של קבוצת נובליום. במקביל, פרסמה חברת אבטחת המידע מנדיאנט דו״ח חדש על פעילותה של הקבוצה, המזוהה עם הביון הרוסי
מנדי קוגוסובסקי
| 07/12/2021
Photo by Alex Milan Tracy/Sipa USA via REUTERS
קבוצת הסייבר הזדונית נובליום, העומדת מאחורי מתקפת הענק על SolarWinds שנחשפה בשנה שעברה, ממשיכה לפעול, כך על פי דוחות והתראות מהימים האחרונים. נובליום נחשדת על ידי בכירי קהיליות המודיעין והסייבר כפועלת משטחי רוסיה ובחסות הממשל – ובאופן ספציפי יותר, כי היא מהווה את חטיבת הפריצה של שירות ביון החוץ של רוסיה, SVR (דבר שהממשל הרוסי מכחיש).
סוכנות אבטחת הסייבר הלאומית הצרפתית (ANSSI) הודיעה אתמול כי איתרה מספר קמפיינים של פישינג (דיוג) המכוונים נגד ישויות צרפתיות והפועלים החל מפברואר השנה לפחות, וכי אינדיקטורים טכניים תואמים לפעילות המקושרת עם נובליום.
״הקמפיינים הללו הצליחו לפרוץ חשבונות דוא״ל השייכים לארגונים צרפתיים, ולאחר מכן להשתמש בהם כדי לשלוח הודעות מאיימות למוסדות זרים״, נכתב בפרסום הרשמי. ״יתרה מכך, ארגונים ציבוריים צרפתיים קיבלו גם הודעות מזויפות, שנשלחו לכאורה ממוסדות זרים שנפגעו. זוהו חפיפות TTP בין הקמפיינים המנוטרים על ידי ANSSI לבין מתקפת שרשרת האספקה על סולארווינדס ב-2020״. יצוין, כי הסוכנות אינה מציינת מעורבות אפשרית של רוסיה.
בדו״ח חדש שפרסמה חברת אבטחת המידע מנדיאנט (גם אתמול), נחשפים טקטיקות, טכניקות ונהלים (TTP) המשמשים את הקבוצה. בין האלמנטים שזוהו ניתן למנות ״פריצות למספר רב של שירותים טכנולוגיים וחברות מאז 2020; שימוש בהרשאות שהושגו ככל הנראה מנוזקת גניבת מידע על ידי צד שלישי, במטרה לקבל גישה ראשונית לארגונים; שימוש בשרתי פרוקסי על מנת לתקשר עם הקורבנות; ניצול אימות רב גורמי תוך מינוף הודעות ״פוש״, ועוד. בנוסף, נחשפים פרטים לגבי נוזקה חדשה מותאמת אישית בה החלה הקבוצה להשתמש, הקרויה Ceeloader.
״ברוב המקרים, הפעילות לאחר הפריצה כללה גניבה של נתונים רלוונטיים לאינטרסים הרוסיים. במקרים מסוימים, נראה שגניבת הנתונים נדרשה בעיקר כדי ליצור מסלולי גישה חדשים לסביבות של קורנות אחרים״, נכתב בדו״ח. החוקרים מציינים שזיהו למעשה שני אשכולות פעילות נפרדים, שזכו לכינוי UNC3004 ו-UNC2652, אותם הם מקשרים לקבוצה UNC2452 – השם שהם העניקו לנובליום (הקבוצה ידועה בשלל שמות נוספים, הניתנים על ידי חוקרים שונים, דוגמת Cozy Bear, The Dukes, Dark Halo, ו-APT29). עם זאת, החוקרים נמנעים מלספק אמירה חד-משמעית, אלא מדברים על סבירות גבוהה.
״אנו חושדים שהאשכולות המרובים מיוחסים לאיום רוסי משותף״, כותבים החוקרים. הטקטיקות המצוינות בדו״ח הנן מוכרות וחדשות כאחד, ומנדיאנט מזהירה כי הקבוצה ממשיכה להתקדם טכנולוגית ״כדי לשמור על גישה מתמשכת לסביבת הקורבן״. במחקר המתמשך, משתפת החברה פעולה עם חברות נוספות כגון מיקרוסופט, שמתייחסת לפעילות של נובליום כאל ״מתקפת מדינת הלאום המתוחכמת ביותר בהיסטוריה״.
סוכנות אבטחת הסייבר הלאומית הצרפתית הודיעה כי איתרה קמפיינים זדוניים התואמים את השיטות של קבוצת נובליום. במקביל, פרסמה חברת אבטחת המידע מנדיאנט דו״ח חדש על פעילותה של הקבוצה, המזוהה עם הביון הרוסי
Photo by Alex Milan Tracy/Sipa USA via REUTERS
קבוצת הסייבר הזדונית נובליום, העומדת מאחורי מתקפת הענק על SolarWinds שנחשפה בשנה שעברה, ממשיכה לפעול, כך על פי דוחות והתראות מהימים האחרונים. נובליום נחשדת על ידי בכירי קהיליות המודיעין והסייבר כפועלת משטחי רוסיה ובחסות הממשל – ובאופן ספציפי יותר, כי היא מהווה את חטיבת הפריצה של שירות ביון החוץ של רוסיה, SVR (דבר שהממשל הרוסי מכחיש).
סוכנות אבטחת הסייבר הלאומית הצרפתית (ANSSI) הודיעה אתמול כי איתרה מספר קמפיינים של פישינג (דיוג) המכוונים נגד ישויות צרפתיות והפועלים החל מפברואר השנה לפחות, וכי אינדיקטורים טכניים תואמים לפעילות המקושרת עם נובליום.
״הקמפיינים הללו הצליחו לפרוץ חשבונות דוא״ל השייכים לארגונים צרפתיים, ולאחר מכן להשתמש בהם כדי לשלוח הודעות מאיימות למוסדות זרים״, נכתב בפרסום הרשמי. ״יתרה מכך, ארגונים ציבוריים צרפתיים קיבלו גם הודעות מזויפות, שנשלחו לכאורה ממוסדות זרים שנפגעו. זוהו חפיפות TTP בין הקמפיינים המנוטרים על ידי ANSSI לבין מתקפת שרשרת האספקה על סולארווינדס ב-2020״. יצוין, כי הסוכנות אינה מציינת מעורבות אפשרית של רוסיה.
בדו״ח חדש שפרסמה חברת אבטחת המידע מנדיאנט (גם אתמול), נחשפים טקטיקות, טכניקות ונהלים (TTP) המשמשים את הקבוצה. בין האלמנטים שזוהו ניתן למנות ״פריצות למספר רב של שירותים טכנולוגיים וחברות מאז 2020; שימוש בהרשאות שהושגו ככל הנראה מנוזקת גניבת מידע על ידי צד שלישי, במטרה לקבל גישה ראשונית לארגונים; שימוש בשרתי פרוקסי על מנת לתקשר עם הקורבנות; ניצול אימות רב גורמי תוך מינוף הודעות ״פוש״, ועוד. בנוסף, נחשפים פרטים לגבי נוזקה חדשה מותאמת אישית בה החלה הקבוצה להשתמש, הקרויה Ceeloader.
״ברוב המקרים, הפעילות לאחר הפריצה כללה גניבה של נתונים רלוונטיים לאינטרסים הרוסיים. במקרים מסוימים, נראה שגניבת הנתונים נדרשה בעיקר כדי ליצור מסלולי גישה חדשים לסביבות של קורנות אחרים״, נכתב בדו״ח. החוקרים מציינים שזיהו למעשה שני אשכולות פעילות נפרדים, שזכו לכינוי UNC3004 ו-UNC2652, אותם הם מקשרים לקבוצה UNC2452 – השם שהם העניקו לנובליום (הקבוצה ידועה בשלל שמות נוספים, הניתנים על ידי חוקרים שונים, דוגמת Cozy Bear, The Dukes, Dark Halo, ו-APT29). עם זאת, החוקרים נמנעים מלספק אמירה חד-משמעית, אלא מדברים על סבירות גבוהה.
״אנו חושדים שהאשכולות המרובים מיוחסים לאיום רוסי משותף״, כותבים החוקרים. הטקטיקות המצוינות בדו״ח הנן מוכרות וחדשות כאחד, ומנדיאנט מזהירה כי הקבוצה ממשיכה להתקדם טכנולוגית ״כדי לשמור על גישה מתמשכת לסביבת הקורבן״. במחקר המתמשך, משתפת החברה פעולה עם חברות נוספות כגון מיקרוסופט, שמתייחסת לפעילות של נובליום כאל ״מתקפת מדינת הלאום המתוחכמת ביותר בהיסטוריה״.
