הצעת הנחה מרובה רישיונות
אבטחת מחשבים האקרים של סופת השלגים הרוסית מפרים יעדי תשתית קריטיים,...

האקרים של סופת השלגים הרוסית מפרים יעדי תשתית קריטיים, מזהירה מיקרוסופט

עד Mura ב-אבטחת מחשבים
לתרגם ל:
עברית

קבוצת פריצה מסוכנת הקשורה לרוסיה, הידועה בשם Seashell Blizzard, הגבירה את התקפותיה על תשתיות קריטיות ברחבי העולם, והעלתה חששות לגבי ריגול סייבר ארוך טווח ופעולות הרסניות. לפי אזהרה שפרסמה לאחרונה מיקרוסופט, קבוצה זו לא רק חודרת למערכות בעלות ערך גבוה אלא גם מטביעה את עצמה עמוקות כדי לשמור על שליטה ארוכת טווח על רשתות שנפגעו.

שלג הצדפים הוא שחקן איום רוסי ידוע לשמצה

Seashell Blizzard, שנמצאת במעקב גם כ-APT44, BlackEnergy Lite, Sandworm, Telebots ו-Vodoo Bear, מהווה איום סייבר משמעותי לפחות מאז 2009. ההערכה הרווחת היא שהקבוצה פועלת תחת סוכנות הביון הצבאית של רוסיה, GRU (במיוחד יחידה 74455). Seashell Blizzard ידועה לשמצה בהתקפות ההרסניות שלה, כולל תוכנת הכופר הידועה לשמצה NotPetya שהכתה עסקים גלובליים ב-2017 והתוכנה הזדונית KillDisk שכיוונה למערכות קריטיות באוקראינה ב-2015.

במהלך השנים, Seashell Blizzard פנתה למגזרי תשתית קריטיים כגון:

  • אֵנֶרְגִיָה
  • אַסְפָּקַת מַיִם
  • מוסדות ממשלתיים
  • רשתות צבאיות
  • תקשורת
  • הוֹבָלָה
  • ייצור

התקפות אלו אינן אקראיות - הן עולות בקנה אחד עם מטרות הצבא הרוסי, במיוחד באוקראינה, שם לוחמת סייבר הייתה מרכיב מרכזי באסטרטגיית הסכסוך הרחבה יותר של רוסיה.

תת-קבוצה חדשה המתמקדת בגישה מתמשכת

הדו"ח האחרון של מיקרוסופט מדגיש את הופעתה של תת-קבוצה בתוך Seashell Blizzard שפועלת מתחת לרדאר במשך ארבע שנים לפחות. תת-קבוצה זו מוקדשת למשימה קריטית אחת: השגת גישה ראשונית למערכות פגיעות וביסוס התמדה לטווח ארוך. זה מאפשר להאקרים לשמור על שליטה על מערכות שנפרצות במשך חודשים או אפילו שנים, מוכנים להשיק התקפות משבשות בכל רגע.

מאמץ זה, שזכה לכינוי מסע הפרסום BadPilot , נמשך מאז 2021, תוך התמקדות בחדירת יעדים בעלי ערך גבוה כדי לאפשר פשרות רחבות יותר ברשת. השיטות של תת-הקבוצה מתוארות כגנבות ואופורטוניסטיות ביותר, תוך הסתמכות על נקודות תורפה בתוכנות בשימוש נרחב ובמערכות הפונות לאינטרנט.

ניצול פגיעויות ידועות

התוקפים מנצלים פגמי אבטחה ידועים במערכות פופולריות, כולל:

  • ConnectWise ScreenConnect (CVE-2024-1709)
  • Fortinet FortiClient EMS (CVE-2023-48788)
  • Microsoft Exchange (CVE-2021-34473)
  • Zimbra Collaboration Suite (CVE-2022-41352)
  • OpenFire Chat Server (CVE-2023-32315)
  • TeamCity Build Server (CVE-2023-42793)
  • Microsoft Outlook (CVE-2023-23397)
  • שרתי JBOSS (CVE לא מוגדר)

ההאקרים נוקטים בגישה אגרסיבית של "ריסוס-והתפלל", סורקים את האינטרנט לאיתור מערכות פגיעות ותוקפים אותן בהמוניהם. לאחר שנכנסו, הם מטמיעים את עצמם באמצעות כלים כמו קונכיות אינטרנט ותוכנת ניטור וניהול מרחוק (RMM), מה שמבטיח שליטה ארוכת טווח על המערכות שנפגעו.

טכניקות אזעקה המשמשות לשמירה על שליטה

ברגע שמערכת נפגעת, תת-הקבוצה פורסת טכניקות התמדה מרובות:

  • פריסות מעטפת אינטרנט: מתן גישה בדלת אחורית לשליטה מרחוק.
  • RMM Tools: מאפשר גישה דיסקרטית ופריסה נוספת של תוכנות זדוניות.
  • קצירת אישורים: שינוי דפי התחברות והגדרות DNS של OWA כדי לגנוב אישורי משתמש.
  • הזרקת JavaScript: הוספת קוד זדוני לפורטלי התחברות כדי לאסוף שמות משתמש וסיסמאות.

    • בכמה מקרים, גישה מתמשכת זו קדמה להתקפות הרסניות, דבר המצביע על כך שההאקרים שומרים על יכולת דו-תכליתית - ריגול וחבלה - בהתאם לצרכים הצבאיים והגיאופוליטיים הרוסיים.

    התרחבות גלובלית: ארה”ב ובריטניה עכשיו על הכוונת

    בעוד אוקראינה הייתה המוקד העיקרי של פעילות הסייבר של Seashell Blizzard, הדו"ח של מיקרוסופט חושף כי תת-קבוצה זו הרחיבה את טווח ההגעה שלה בשנת 2023, והתמקדה בארגונים בארצות הברית ובבריטניה. ההרחבה מסמנת שינוי מסוכן, מה שמרמז שספר לוחמת הסייבר של רוסיה מרחיב את היקפו כך שיכלול מדינות מערביות.

    איום מתמשך ומתגבר

    מיקרוסופט מזהירה כי תת-קבוצה זו אינה מאטה. למעשה, סביר להניח שהוא ימשיך להתפתח ולפרוס טכניקות חדשניות כדי לחדור לרשתות ברחבי העולם. עם המלחמה המתמשכת של רוסיה באוקראינה והמתח הגיאו-פוליטי הגובר, התקפות סייבר נגד תשתיות קריטיות עלולות להסלים להשלכות הרסניות בעולם האמיתי.

    הגנה על הארגון שלך מפני סופת שלגים

    ארגונים במגזרים קריטיים חייבים לנקוט בפעולה מיידית כדי להתגונן מפני האיום המתמשך הזה:

    • תיקון פגיעויות ידועות: ודא שמערכות המריצים ScreenConnect, Fortinet, Exchange, Zimbra, OpenFire ותוכנות ממוקדות אחרות מתעדכנות במלואן.
    • חזקו את אבטחת הרשת: פרסו אימות רב-גורמי (MFA), הגבל גישה למערכות רגישות ועקוב אחר פעילות חריגה.
    • מעקב אחר התמדה: ערוך ביקורות אבטחה סדירות כדי לזהות קונכיות אינטרנט לא מורשות, כלי RMM או שינויים בדפי התחברות ובתצורות DNS.
    • מוכנות לתגובה לאירועים: התכונן להתקפות משבשות פוטנציאליות על ידי פיתוח תוכנית תגובה מקיפה והבטחת הגיבויים מאובטחים ונבדקים באופן קבוע.

    אזהרה אחרונה

    Seashell Blizzard ותת-קבוצת הגישה הראשונית שלה מייצגים סכנה ברורה ונוכחת לתשתית קריטית ברחבי העולם. הרדיפה הבלתי פוסקת שלהם אחר גישה מתמשכת עשויה לשמש מבשר לחבלה בסייבר בקנה מידה גדול, המסוגלת לשבש רשתות אנרגיה, אספקת מים, מערכות תחבורה ופעולות ממשלתיות. הממצאים האחרונים של מיקרוסופט הם תזכורת חדה: מתקפת הסייבר הגדולה הבאה כבר יכולה להיות אורבת בתוך מערכות קריטיות, ומחכה לאות להכות.

    טוען...