קבוצת סייבר רוסית מחקה דומיינים של AWS כדי לגנוב אישורי Windows

קבוצת הסייבר הרוסית APT29 (ידועה גם בשמות Midnight Blizzard, Nobelium, Cozy Bear) היא ללא ספק קבוצת הסייבר הידועה ביותר לשמצה בעולם. זוהי זרוע של שירות הביון החוץ של הפדרציה הרוסית (SVR), ידועה בעיקר בשל פריצות הסייבר ל- SolarWinds ולוועדה הלאומית הדמוקרטית (DNC). לאחרונה, היא פרצה את בסיס הקוד של מיקרוסופט וליעדים פוליטיים ברחבי אירופה ואפריקה. "APT29 מגלמת את החלק ה'מתמשך' של 'איום סייבר מתמשך", אומר Satnam Narang – מהנדס מחקר בכיר ב- Tenable ומוסיף: "פעילות הקבוצה מתמקדת בארגונים בארה"ב ובאירופה במשך שנים, תוך שימוש בטכניקות שונות, לרבות דיוג חנית וניצול נקודות תורפה כדי להשיג גישה ראשונית ולהסלים הרשאות. אופן הפעולה שלה הוא איסוף מודיעין, כמו גם שמירה על נוכחות בארגונים שנפגעו על מנת לנהל מתקפות סייבר עתידיות."

העובדה ש- APT29 מחפשים לגנוב אישורים רגישים מארגונים בולטים ומגוונים מבחינה גיאופוליטית אינה מפתיעה, מציין Narang, אם כי הוא מוסיף כי "הדבר היחיד שסוטה מהנתיב הינו המיקוד הרחב שלהם ביעדים פוטנציאליים."

מתקפת הסייבר הנוכחית של APT29, שראשיתה באוגוסט, בוצעה באמצעות שמות דומיינים זדוניים שנועדו להיראות כאילו הם קשורים לשירותי האינטרנט של אמזון (AWS). האימיילים שנשלחו מהדומיינים הללו התיימרו לייעץ לנמענים כיצד לשלב AWS עם שירותי מיקרוסופט וכיצד ליישם ארכיטקטורת אבטחת מידע. AWS עצמם דיווחו כי פושעי הסייבר לא חיפשו לפגוע באמזון, או באישורי ה- AWS של לקוחותיהם. מה ש- APT29 באמת רצו נחשף בקבצים המצורפים לאותם מיילים: קבצי תצורה עבור Remote Desktop – האפליקציה של מיקרוסופט להטמעת פרוטוקול Remote Desktop – RDP – כלי פופולרי אשר בשימוש משתמשים לגיטימיים והאקרים כאחד כדי להפעיל מחשבים מרחוק. "בדרך כלל ינסו פושעי סייבר להיכנס בכוח אל תוך מערכת המחשוב או לנצל פגיעויות אבטחה ואז להגדיר RDP. במקרה הזה, הם בעצם אומרים: 'אנחנו רוצים תחילה ליצור את החיבור הזה", אומר Narang.

הפעלת אחד מהקבצים המצורפים הזדוניים הללו מפעילה מיד חיבור RDP יוצא לשרת APT29. אבל זה לא הכל: הקבצים הכילו גם מספר פרמטרים זדוניים אחרים, כגון כאלו שכאשר נוצר חיבור, מקבלים פושעי הסייבר גישה לאחסון של מחשב היעד, ללוח, להתקני שמע, למשאבי רשת, למדפסות, לתקשורת יציאות ועוד – עם יכולת נוספת להפעיל סקריפטים זדוניים מותאמים אישית.

CERT-UA ממליצים על אמצעי זהירות קפדניים: לא רק ניטור יומני רשת עבור חיבורים לכתובות IP הקשורות ל- APT29, אלא גם ניתוח כל החיבורים היוצאים לכל כתובות ה- IP באינטרנט. לארגונים בסיכון מציע Narang עצות פשוטות יותר. "קודם כל, אל תאפשרו קבלת קבצי RDP. אתם יכולים לחסום אותם בשער הדואר האלקטרוני שלכם."

למקור הידיעה ולקריאה נוספת

קבוצת סייבר רוסית מחקה דומיינים של AWS כדי לגנוב אישורי Windows
דילוג לתוכן