האקרים רוסים תוקפים שגרירויות דרך ספקיות אינטרנט

תמונה: pexels

לפני מספר ימים פוסט בבלוג של מיקרוסופט שם דגש על תופעה מטרידה: האקרים שפועלים בשירות השלטון הרוסי תוקפים שגרירויות זרות שנמצאות במוסקבה. איך הם עושים את זה? דרך ספקיות האינטרנט המקומיות שעובדות תחת רגולציה של המדינה. אמנם קבוצות האקרים בשירות מדינות הן כבר לא מצרך נדיר, במיוחד לאור ניסיונות ההונאה של האקרים צפון-קוריאנים, אך בסיפור הנוכחי נראה כי מדובר בקמפיין מאורגן שמשלב גם חברות לגיטימיות שמודעות לעניין.

לפי מיקרוסופט, מדובר בקמפיין סייבר מתוחכם שפועל כבר שנה לפחות. מאחוריו עומדת קבוצת האקרים בשם Secret Blizzard, שמוכרת גם תחת שמות כמו Turla, Snake, Waterbug ועוד. הקבוצה הזאת פועלת כבר משנות ה-90 ונחשבת לאחת הקבוצות הרציניות של שירות הביטחון הפדרלי של רוסיה ה-FSB.

האלמנט הכי מטריד בממצאים הוא לא רק ש-Secret Blizzard מצליחה ליירט תעבורת רשת. לפי הדוח, ההאקרים עושים זאת דרך ספקיות אינטרנט מקומיות ברוסיה, במסגרת רגולציה ממשלתית שמחייבת את הספקיות לשתף פעולה עם מנגנוני הביטחון.

במילים אחרות: תשתית האינטרנט הרוסית עצמה מאפשרת לתוקפים להפנות את התעבורה של ארגונים זרים למלכודות דיגיטליות, כולל דומיינים מזויפים, קבצים נגועים ונוזקות מתקדמות. זו לא רק מתקפה מתוחכמת: זו מתקפה ממוסדת.

התקיפה מגיעה "מהאמצע"

שיטת הפעולה של ההאקרים נקראת Adversary-in-the-Middle (או AitM בקיצור). הם משתלטים על התעבורה שעוברת בין השגרירויות לבין מדינות האם שלהן ומשתילים בה קוד זדוני בלי שאף אחד ישים לב. במקום שהשגרירות תגיע לאתר שהיא ביקשה, ההאקרים מפנים אותה לאתר שנראה זהה אבל שייך להם. למעשה, ההאקרים יכולים לזייף כל אתר אינטרנט שירצו (למשל, אתר הבנק או הפורטל הפנימי של השגרירות) ולגרום למחשב של הדיפלומט לחשוב שהם אמינים.

המטרה של המתקפות האלה היא ברורה: לגרום לעובדים להוריד נוזקה בשם ApolloShadow, שנותנת להם גישה רחבה למערכת ומאפשרת להם להתחפש לאתרים מוכרים ולהמשיך לרגל לאורך זמן.

כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime

בפברואר האחרון למשל, זוהתה מתקפה שבה מחשב של שגרירות הופנה ל"דף כניסה" מזויף, כזה שנראה כמו הדף הרגיל שתראו כשתנסו להתחבר ל-WiFi של בית מלון. המשתמש התבקש להתחבר, ואיך שהוא עשה זאת, Windows מריצה שירות לגיטימי שבודק חיבור לאינטרנט.

אלא שהכתובת שהמערכת שולחת אליו הוחלפה. במקום להגיע לאתר האמיתי, המשתמש נוחת על דומיין זדוני של ההאקרים. שם מופיעה שגיאה שקשורה לתעודת אבטחה, שמעודדת את המשתמש להוריד קובץ שנראה תמים אבל בפועל מתקין את ApolloShadow.

הנוזקה מתחילה לבדוק אם יש למשתמש הרשאות מנהל. אם אין, היא מציגה חלון שמתחזה להתקנה של אנטי-וירוס של Kaspersky, בשם CertificateDB.exe כדי לשכנע את המשתמש לאשר הרשאות גבוהות ולהתקין תעודת אבטחה מזויפת. אם גם זה לא מצליח, היא מפעילה מהלך נוסף: היא מציגה עמוד שמתחזה לאתר הרשמי של DigiCert, ושולחת למחשב קובץ נוסף – סקריפט ב-VBScript – שמנסה שוב לחזק את רמת ההרשאות.

אם למשתמש יש הרשאות מתאימות, הנוזקה מגדירה את הרשת המקומית כ"רשת פרטית". למה זה חשוב? כי זה פותח את הדלת לגישה נוחה יותר למחשבים אחרים ברשת – למשל על ידי הקלה של הפיירוול ואפשרות לשיתוף קבצים. נכון לעכשיו מיקרוסופט לא ראתה עדויות לתנועה בין מחשבים (מה שנקרא "תנועה לטרלית"), אבל כנראה שזה פשוט חלק מההכנה למשהו גדול יותר.

מה עושים?

לפי מיקרוסופט, הבעיה הכי חמורה כאן היא ש-ApolloShadow גורם למערכת "לחשוב" שאתרים זדוניים הם לגיטימיים. וזה נותן להאקרים דריסת רגל מתמשכת – מושלמת לריגול שקט לאורך זמן.

אך הסיפור הזה הוא תמרור אזהרה לא רק לדיפלומטים במוסקבה. הוא חושף טקטיקה הולכת וגוברת, שבה מדינות משתמשות בתשתיות אזרחיות כמו ספקיות אינטרנט ככלי נשק לכל דבר. הדיווח הזה צריך להדליק נורה אדומה לכל דיפלומט, איש עסקים או חברה ישראלית שפועלים במדינות שאינן בהכרח ידידותיות. השאלה היא כבר לא רק "האם המחשב שלי מאובטח?", אלא "האם אני יכול בכלל לסמוך על קו האינטרנט שאליו אני מתחבר?".