פאלו אלטו נטוורקס: קבוצת האקרים רוסית חשודה בתקיפת שגרירויות זרות בברזיל ובפורטוגל
החוקרים: "רוסיה מכוונת לשגרירויות של מדינות מערביות כדי לפרוס בהן תוכנות זדוניות באמצעות שירותי ענן מהימנים"
עמי רוחקס דומבה
| 24/07/2022
תמונה: פאלו אלטו
יחידת המודיעין והמחקר של ענקית הסייבר פאלו אלטו נטוורקס, Unit 42, מפרסמת מידע לגבי קבוצת תקיפה מרוסיה שעשתה שימוש בשירותי ענן מהימנים ולגיטימיים כמו GoogleDrive ו-DropBpx כדי לאחסן ולהפעיל תוכנות זדוניות.
את הקמפיין הזה ביצעה הקבוצה תחת השם Cloaked Ursula, אבל הקבוצה ידועה גם בשמות APT29, Nobelium ו-Cozy Bear. השימוש בשירותי הענן אפשרו לקבוצה לחמוק מגילוי, ולהשתמש בכלי Cobalt Strike במטרה לגנוב מידע.
במסגרת הקמפיין, התוקפים ניסו לפתות את המשתמשים באמצעות כניסה למסמך אג'נדה לקראת פגישה קרובה עם שגריר של מדינה מערבית. החוקרים מעריכים כי הקמפיין הזה כוון למספר נציגויות דיפלומטיות מערביות בין מאי ליוני 2022 - כולל התמקדות בשגרירויות זרות בפורטוגל ובברזיל.
במספר מקרים מסמכי ההתחזות הכילו קישור לקובץ HTML זדוני (EnvyScout), שהובילם לעוד קבצים זדוניים נוספים ברשת היעד כולל מטען ה- Cobalt Strike.
זה זמן רב שתעשיית הסייבר מחשיבה את Cloaked Ursa כמזוהה עם ממשלת רוסיה. זה מתבהר כשבוחנים את הקורבנות של הקבוצה לאורך השנים: בשנת 2008 יוחסו אל הקבוצה קמפיינים של תוכנות זדוניות נגד צ'צ'ניה ומדינות אחרות בגוש הסובייטי לשעבר.
בשנת 2016 יוחסה אליהן הפריצה לוועדה הלאומית הדמוקרטית של ארצות הברית (DNC), ובשנת 2020 יוחסה אליהן אחת התקיפות הגדולות והידועות ביותר של השנים האחרונות – SolarWinds. גם ארצות הברית וגם בריטניה ייחסו בפומבי את הקבוצה הזו לשירות הביון החוץ של רוסיה (SVR).
"אנו מפרסמים את המידע כדי להעלות את המודעות לקמפיין הפעיל והמסוכן הזה, כך שגם ארגונים וגם ממשלות יהיו בכוננות גבוהה, במיוחד מכיוון שהתוקפים משתמשים בהצפנה שיכולה להתחמק מזיהוי" מסבירים החוקרים.
"רוסיה מכוונת לשגרירויות של מדינות מערביות כדי לפרוס בהן תוכנות זדוניות באמצעות שירותי ענן מהימנים. הקמפיינים האחרונים שבוצעו על ידי הקבוצה תחת השם Cloaked Ursa הם מהמתוחכמים שראינו. זוהי טקטיקה חדשה עבור הקבוצה והיא מאתגרת לזיהוי בשל הפופולאריות של שירותי הענן האלו והעובדה שמיליוני לקוחות ברחבי העולם נותנים בהם אמון".
החוקרים: "רוסיה מכוונת לשגרירויות של מדינות מערביות כדי לפרוס בהן תוכנות זדוניות באמצעות שירותי ענן מהימנים"
תמונה: פאלו אלטו
יחידת המודיעין והמחקר של ענקית הסייבר פאלו אלטו נטוורקס, Unit 42, מפרסמת מידע לגבי קבוצת תקיפה מרוסיה שעשתה שימוש בשירותי ענן מהימנים ולגיטימיים כמו GoogleDrive ו-DropBpx כדי לאחסן ולהפעיל תוכנות זדוניות.
את הקמפיין הזה ביצעה הקבוצה תחת השם Cloaked Ursula, אבל הקבוצה ידועה גם בשמות APT29, Nobelium ו-Cozy Bear. השימוש בשירותי הענן אפשרו לקבוצה לחמוק מגילוי, ולהשתמש בכלי Cobalt Strike במטרה לגנוב מידע.
במסגרת הקמפיין, התוקפים ניסו לפתות את המשתמשים באמצעות כניסה למסמך אג'נדה לקראת פגישה קרובה עם שגריר של מדינה מערבית. החוקרים מעריכים כי הקמפיין הזה כוון למספר נציגויות דיפלומטיות מערביות בין מאי ליוני 2022 - כולל התמקדות בשגרירויות זרות בפורטוגל ובברזיל.
במספר מקרים מסמכי ההתחזות הכילו קישור לקובץ HTML זדוני (EnvyScout), שהובילם לעוד קבצים זדוניים נוספים ברשת היעד כולל מטען ה- Cobalt Strike.
זה זמן רב שתעשיית הסייבר מחשיבה את Cloaked Ursa כמזוהה עם ממשלת רוסיה. זה מתבהר כשבוחנים את הקורבנות של הקבוצה לאורך השנים: בשנת 2008 יוחסו אל הקבוצה קמפיינים של תוכנות זדוניות נגד צ'צ'ניה ומדינות אחרות בגוש הסובייטי לשעבר.
בשנת 2016 יוחסה אליהן הפריצה לוועדה הלאומית הדמוקרטית של ארצות הברית (DNC), ובשנת 2020 יוחסה אליהן אחת התקיפות הגדולות והידועות ביותר של השנים האחרונות – SolarWinds. גם ארצות הברית וגם בריטניה ייחסו בפומבי את הקבוצה הזו לשירות הביון החוץ של רוסיה (SVR).
"אנו מפרסמים את המידע כדי להעלות את המודעות לקמפיין הפעיל והמסוכן הזה, כך שגם ארגונים וגם ממשלות יהיו בכוננות גבוהה, במיוחד מכיוון שהתוקפים משתמשים בהצפנה שיכולה להתחמק מזיהוי" מסבירים החוקרים.
"רוסיה מכוונת לשגרירויות של מדינות מערביות כדי לפרוס בהן תוכנות זדוניות באמצעות שירותי ענן מהימנים. הקמפיינים האחרונים שבוצעו על ידי הקבוצה תחת השם Cloaked Ursa הם מהמתוחכמים שראינו. זוהי טקטיקה חדשה עבור הקבוצה והיא מאתגרת לזיהוי בשל הפופולאריות של שירותי הענן האלו והעובדה שמיליוני לקוחות ברחבי העולם נותנים בהם אמון".
