עליה משמעותית מאוקטובר 2023 ועד סוף מרץ 2024 בפעילות קבוצות המזוהות עם איראן – ארגונים ממשלתיים על הכוונת | לאחר מתקפת החמאס על ישראל באוקטובר 2023, ובמהלך המלחמה המתמשכת בעזה, זוהתה עלייה משמעותית בפעילות מצד קבוצות תקיפה המזוהות עם איראן | קבוצות המזוהות עם רוסיה התרכזו בריגול בתוך האיחוד האירופי | וכיצד פעלו גורמי איום המזוהים עם סין?
אהרון סוויסה 11.08.2024
סייבר, רוגלה, אבטחת מידע | מקור: פיקסביי חברת אבטחת המידע ESET משחררת את דו"ח פעילות קבוצות התקיפה החדש, שמסכם פעולות משמעותיות שתועדו על ידי חוקרי החברה מאוקטובר 2023 ועד סוף מרץ 2024. הפעולות בהן עוסק הדוח מייצגות את הטווח הרחב של האיומים שגוף המחקר של ESET חקר במהלך התקופה הזאת, ושם דגש על מגמות והתפתחויות עיקריות.
לאחר מתקפת החמאס על ישראל באוקטובר 2023, ובמהלך המלחמה המתמשכת בעזה, החברה זיהתה עלייה משמעותית בפעילות מצד קבוצות תקיפה המזוהות עם איראן. קבוצות המזוהות עם רוסיה התרכזו בריגול בתוך האיחוד האירופי והמשיכו במתקפות נגד אוקראינה.
מנגד, מספר גורמי איום המזוהים עם סין ניצלו חולשות אבטחה במכשירים המיועדים לציבור, כמו רשתות VPN וחומות אש, וכן בתוכנות כמו Confluence ו-Microsoft Exchange Server, כדי לקבל גישה ראשונית למטרות בתחומי עיסוק שונים. קבוצות המזוהות עם צפון קוריאה המשיכו לתקוף חברות בתחום התעופה וההגנה ואת תעשיית המטבעות הדיגיטליים.
״המטרות של מרבית הקמפיינים היו ארגונים ממשלתיים ועסקים בתחומים מסוימים, כמו אלה שהותקפו בעבר במתקפות המתמשכות וחסרות המעצורים כלפי התשתיות האוקראיניות. באירופה זוהו תקיפות מגוונות יותר מצד גורמי איום שונים. קבוצות המזוהות עם רוסיה חיזקו את התמקדותן בריגול אחר האיחוד האירופי, בזמן שגם קבוצות המזוהות עם סין שמרו על עקביות בנוכחותן, מה שמצביע על התעניינות מתמשכת בהתרחשויות באירופה גם מצד קבוצות המזוהות עם רוסיה וגם מצד קבוצות המזוהות עם סין״, אומר ז׳אן-יאן בוטין, מנהל תחום חקר האיומים ב-ESET.
על בסיס דליפת הנתונים מחברת שירותי האבטחה הסינית I-SOON (Anxun), גוף המחקר של ESET יכול לאשר שהקבלן הסיני הזה אכן מעורב בריגול סייבר. חברת אבטחת המידע הישראלית עוקבת אחר חלק מפעילויות החברה הסינית הזאת כחלק מקבוצת FishMonger. בדוח זה נחשפה קבוצת APT חדשה המזוהה עם סין בשם CerenaKeeper, לה יש מאפיינים ייחודיים אך עדיין עשויה להיות קשורה לטביעת הרגל הדיגיטלית של קבוצת Mustang Panda.
באשר לקבוצות תקיפה המזוהות עם איראן, MuddyWater ו-Agrius חדלו מההתמקדות שלהן בריגול סייבר ותקיפה באמצעות כופרות, בהתאמה, ועברו לאסטרטגיות אגרסיביות יותר הכוללות מתקפות מסוג סחר בגישה לרשתות (Access Brokering). במקביל, זוהתה ירידה בפעילותן של OilRig ו-Ballistic Bobcat, מה שעשוי להצביע על שינוי אסטרטגי לפעולות בולטות יותר שמכוונות לישראל.
בנוגע לפעילות המזוהה עם רוסיה, קמפיין ״מבצע Texonto״, שעסק בהפצת מידע מטעה והשפעה פסיכולוגיות (PsyOp) ונחשף ע״י חוקרי ESET, הפיץ מידע שגוי בנוגע למחאות הקשורות בבחירות ברוסיה במטרופולין חרקיב שבמזרח אוקראינה ועורר אי-ודאות בקרב אוקראינים באוקראינה ומחוצה לה.
הדוח מתאר גם ניצול של חולשת zero-day ב-Roundcube ע״י קבוצת Winter Vivern, קבוצה שמזוהה עם האינטרסים של בלארוס לפי הערכות חוקרי ESET. בנוסף, החברה שמה זרקור על קמפיין במזרח התיכון שבוצע ע״י SturgeonPhisher, קבוצה שמזוהה עם האינטרסים של קזחסטן לפי הערכות החוקרים.
