הקבוצה הנתמכת על ידי רוסיה מאחורי מתקפת SolarWinds הידועה לשמצה מכוונת ל"מספר מדהים" של דיפלומטים זרים העובדים בשגרירויות באוקראינה עם פתיונות שהם קצת יותר אישיים מהתעריף הפוליטי המסורתי המשמש בדרך כלל כדי לפתות אותם ללחוץ על קישורים זדוניים.
חוקרים מיחידה 42 של פאלו אלטו נטוורקס צפו בקבוצה - שאחריה הם עוקבים אורסה עטויה אבל הידוע יותר בשם Nobelium/APT29 - רכב להתנייד בו.
נראה כי הפיתוי הראשוני בקמפיין השתמש בפלייר לגיטימי למכירת מכונית BMW סדאן משומשת בקייב שהופצה לשגרירויות שונות על ידי דיפלומט במשרד החוץ הפולני. למרות שזה נראה תמים למדי, מכירה של מכונית אמינה מדיפלומט מהימן - במיוחד באזור מוכה מלחמה כמו אוקראינה - בהחלט עשויה למשוך את תשומת הלב של מגיע חדש למקום, ציינו החוקרים.
זה משהו ש-Cleaked Ursa חשבה כהזדמנות, ומייעדת מחדש את העלון ליצור אחד לא לגיטימי משלה, אותו שלחה הקבוצה למשימות דיפלומטיות מרובות שבועיים לאחר מכן כפיתיון במסע התוכנות הזדוניות שלה. הקבוצה כללה בהודעה קישור זדוני, שאמר כי מטרות יכולות למצוא שם תמונות נוספות של המכונית. קורבנות מוצאים יותר מסתם תמונות אם הם לוחצים על הקישור, אשר מפעיל תוכנה זדונית בשקט ברקע בזמן שהתמונה שנבחרה מוצגת על מסך הקורבן.
המטען של הקמפיין הוא תוכנה זדונית מבוססת JavaScript המעניקה לתוקפים דלת אחורית מוכנה לריגול למערכת של הקורבן, ויכולת לטעון קוד זדוני נוסף באמצעות חיבור פקודה ושליטה (C2).
האיום המתמשך המתקדם (APT) הראה כוונה מוקדמת ליצור את רשימת היעדים שלו, תוך שימוש בכתובות דוא"ל זמינות לציבור של שגרירות עבור כ-80% מהקורבנות הממוקדים, וכתובות דוא"ל שלא פורסמו שלא נמצאו ברשת האינטרנט עבור שאר 20%. זה היה כנראה "כדי למקסם את הגישה שלהם לרשתות הרצויות", לפי יחידה 42.
החוקרים צפו ב-Cleaked Ursa מנהלת את המערכה נגד 22 מתוך 80 נציגויות זרות באוקראינה, אך מספר המטרות בפועל גבוה יותר, אמרו.
"זהו היקף מדהים עבור מה שהם בדרך כלל פעולות APT בהיקף צר וחשאיות", לפי יחידה 42.
שינוי בטקטיקות הסייבר של תוכנות זדוניות
זהו ציר אסטרטגי משימוש בנושאים הקשורים לעבודותיהם כפיתיון, חשפו חוקרים ב בלוג פורסם השבוע.
"הפתיונות הלא קונבנציונליים הללו נועדו לפתות את הנמען לפתוח התקשרות על סמך הצרכים והרצונות שלו במקום כחלק מהחובות השגרתיות שלו", כתבו החוקרים.
השינוי הזה בטקטיקות הפיתוי יכול להיות מהלך להגדלת גורם ההצלחה של הקמפיין לא רק כדי להתפשר על היעד הראשוני אלא גם אחרים בתוך אותו ארגון, ובכך להרחיב את טווח ההגעה שלו, הציעו החוקרים.
"הפיתויים עצמם ניתנים ליישום נרחב בכל הקהילה הדיפלומטית, וכך הם יכולים להישלח ולהעבירם למספר רב יותר של מטרות", כתבו בפוסט. "כמו כן, יש סיכוי גבוה יותר שהם יועברו לאחרים בתוך ארגון, כמו גם בתוך הקהילה הדיפלומטית."
Cloaked Ursa/Nobelium/APT29, היא קבוצה בחסות המדינה הקשורה לשירות הביון החוץ של רוסיה (SVR), ידועה אולי בעיקר בזכות התקפת SolarWinds, שהתחילה בדלת אחורית שהתגלתה בדצמבר 2020 שהתפשטה לכ-18,000 ארגונים באמצעות עדכוני תוכנה נגועים - ועדיין משפיעה על שרשרת אספקת התוכנה.
הקבוצה נשארה פעילה בעקביות מאז, והגדילה סדרה של התקפות שמתיישרים עם העמדה הגיאופוליטית הכוללת של רוסיה נגד משרדי חוץ ודיפלומטים שונים, וממשלת ארה"ב. מכנה משותף בין אירועים הוא א תחכום הן בטקטיקות והן בפיתוח תוכנות זדוניות מותאמות אישית.
יחידה 42 ציינה קווי דמיון לקמפיינים ידועים אחרים מבית Cloaked Ursa, כולל מטרות המתקפה, וחפיפה בין קוד לתוכנות זדוניות ידועות אחרות מהקבוצה.
הפחתת התקפות סייבר של APT על החברה האזרחית
החוקרים הציעו כמה עצות לאנשים במשימות דיפלומטיות כדי להימנע מליפול טרף להתקפות מתוחכמות וחכמות של APTs כמו אורסה העטופה. האחת היא שמנהלי מערכת מאמנים דיפלומטים שהוקצו לאחרונה על איומי אבטחת הסייבר באזור לפני הגעתם.
עובדי ממשלה או תאגידים בכלל צריכים תמיד להיזהר מהורדות, אפילו מאתרים שנראים לא מזיקים או לגיטימיים, וכן לנקוט באמצעי זהירות נוספים כדי לצפות בהפניית כתובת URL בעת שימוש בשירותי קיצור כתובות אתרים, שכן זה יכול להיות סימן היכר של מתקפת דיוג.
אנשים גם צריכים לשים לב היטב לקבצים מצורפים של מיילים כדי להימנע מלהיות קורבן של פישינג, אמרו החוקרים. עליהם לאמת סוגי סיומות קבצים כדי להבטיח שהקובץ שהם פותחים הוא הקובץ שהם רוצים, הימנעות מקבצים עם סיומות שאינן תואמות או מנסים לטשטש את אופי הקובץ.
לבסוף, החוקרים הציעו לעובדים דיפלומטיים להשבית את JavaScript ככלל, מה שיגרום לכל תוכנה זדונית המבוססת על שפת התכנות ללא אפשרות לביצוע.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. רכב / רכבים חשמליים, פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- BlockOffsets. מודרניזציה של בעלות על קיזוז סביבתי. גישה כאן.
- מקור: https://www.darkreading.com/endpoint/solarwinds-attackers-bmws-spy-diplomats
- :יש ל
- :הוא
- :לֹא
- 000
- 2020
- 22
- 7
- 80
- a
- יכולת
- יכול
- אודות
- גישה
- פי
- לרוחב
- פעיל
- ממשי
- כתובות
- מנהלים
- מתקדם
- עצה
- העניינים
- נגד
- ליישר
- גם
- תמיד
- an
- ו
- כל
- נראה
- ישים
- APT
- ARE
- AREA
- סביב
- הגעה
- AS
- שהוקצה
- המשויך
- At
- לתקוף
- המתקפות
- תשומת לב
- זמין
- לְהִמָנַע
- הימנעות
- דלת אחורית
- רקע
- פְּתָיוֹן
- מבוסס
- BE
- מאחור
- להיות
- הטוב ביותר
- מוטב
- קצת
- בלוג
- ב.מ. וו
- שניהם
- בְּהַרְחָבָה
- אבל
- by
- מבצע
- קמפיינים
- CAN
- מכונית
- זהיר
- שרשרת
- שינוי
- קליק
- סְגוֹר
- קוד
- Common
- קהילה
- פשרה
- הקשר
- משותף
- יכול
- לִיצוֹר
- מנהג
- סייבר
- התקפות רשת
- אבטחת סייבר
- דֵצֶמבֶּר
- בהחלט
- מעוצב
- רצוי
- דיפלומטים
- גילה
- מציג
- דון
- הורדות
- לצייר
- אמייל
- מיילים
- עובדים
- לְהַבטִיחַ
- במיוחד
- אֲפִילוּ
- לבצע
- מוציאים להורג
- מאריך
- הארכה
- סיומות
- נוסף
- גורם
- למדי
- נפילה
- שלח
- קבצים
- בעד
- זר
- מצא
- החל מ-
- נוסף
- כללי
- בדרך כלל
- ליצור
- הגיאופוליטי
- לקבל
- נותן
- ממשלה
- יותר
- קְבוּצָה
- יש
- גבוה יותר
- HTTPS
- if
- תמונה
- פְּגִיעָה
- in
- כלול
- כולל
- להגדיל
- מְתוֹעָב
- בתחילה
- תמים
- בתוך
- במקום
- מוֹדִיעִין
- אל תוך
- IT
- שֶׁלָה
- JavaScript
- מקומות תעסוקה
- jpg
- רק
- ידוע
- שפה
- מאוחר יותר
- לגיטימי
- כמו
- סביר
- קשר
- קישורים
- רשימה
- לִטעוֹן
- תוכנות זדוניות
- להתאים
- דבר
- לְהַגדִיל
- הודעה
- משרד
- משימות
- יותר
- המהלך
- מספר
- טבע
- צרכי
- רשתות
- חדש
- חדש
- בדרך כלל
- ציין
- מספר
- להתבונן
- of
- מוצע
- on
- ONE
- רק
- לפתוח
- פתיחה
- תפעול
- הזדמנות
- or
- ארגון
- ארגונים
- אחר
- אחרים
- מקיף
- שֶׁלוֹ
- פאלו אלטו
- חלק
- תשלום
- אֲנָשִׁים
- אוּלַי
- אישי
- דיוג
- התקפת דיוג
- תמונות
- Pivot
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- פולני
- פוליטי
- הודעה
- קודם
- תכנות
- בפומבי
- לאור
- לְהַגִיעַ
- באזור
- קָשׁוּר
- אָמִין
- נשאר
- חוקרים
- גילה
- כלל
- רוסיה
- s
- אמר
- SALE
- אותו
- אמר
- סצינה
- היקף
- מסך
- לִכאוֹרָה
- נראה
- נבחר
- נשלח
- סדרה
- שרות
- שירותים
- צריך
- הראה
- הדמיון
- since
- אתרים
- תוכנה
- השמש
- כמה
- משהו
- מתוחכם
- התפשטות
- החל
- עוד
- אסטרטגי
- נושא
- הצלחה
- לספק
- שרשרת אספקה
- משטח
- מערכת
- טקטיקה
- לקחת
- יעד
- ממוקד
- מיקוד
- מטרות
- מֵאֲשֶׁר
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- עצמם
- אז
- שם.
- אלה
- הֵם
- זֶה
- השבוע
- איום
- איומים
- דרך
- ל
- לעקוב
- מסורתי
- רכבת
- מהימן
- שתיים
- סוגים
- אוקראינה
- לא מסוגל
- לא שגרתי
- יחידה
- עדכונים
- כתובת האתר
- us
- ממשלת ארצות הברית
- להשתמש
- מְשׁוּמָשׁ
- באמצעות
- שונים
- רכב
- לאמת
- באמצעות
- קרבן
- קורבנות
- רוצה
- רוצה
- היה
- אינטרנט
- שבוע
- שבועות
- טוֹב
- מה
- מתי
- אשר
- בזמן
- עם
- בתוך
- עובד
- היה
- כתב
- זפירנט