ב-Online
 
 
 
 
 
 
 
סייבר 
מי אתם APT28? הצצה ליחידת ההאקרים הסודית של רוסיה 

מי אתם APT28? הצצה ליחידת ההאקרים הסודית של רוסיה

 
סייבר |
 

האשימו אותם בפריצה למחשבי המפלגה הדמוקרטית בארה"ב ואמש – גם למחשבי מפלגת המועמד המוביל הצרפתי – מקרון: הצצה לכח הסודי של פוטין ואל מי שנטען לגביהם כי התערבו בבבחירות בצרפת

 
 
 
 
 
 
 
 
 
נשיא רוסיה, ולדימיר פוטין
 נשיא רוסיה, ולדימיר פוטין   צילום: רויטרס 
 
 

במהלך הסופ"ש האחרון, ויממה לפני פתיחת הקלפיות לבחירות לנשיאות בצרפת, האקרים אנונימיים פירסמו קרוב ל-9 ג'יגה של מידע שנגנב בחודשים האחרונים ממטה מועמד מפלגת "!En Marche" העצמאית.

 

אנשיו של המועמד עמנואל מקרון, שנבחר לנשיא, מיהרו להודיע שהמיילים שהודלפו לא צפויים להזיק לו - וכי האצבע המאשימה אינה מופנית לעבר גורמי פנים במדינה, כמו אנשיה של יריבתו הימנית הקיצונית מרין לה פן, אלא דווקא להאקרים רוסיים שתכננו להטות את תוצאת הבחירות.

 

המיילים הרבים שהודלפו הופצו באמצעות אתר "פסטבין" (אתר שמאפשר פרסום קבצי טקסט ברשת) על ידי משתמש אנונימי בשם "אמליקס". לאחר שהתכנים הללו הועלו לשם, קפצו גם ב"ויקיליקס" ואתרי ימין אמריקנים כמו "ברייטבארט" התומך בטראמפ על העגלה, והחלו להפיץ את תוכנם. יש לציין שבגלל הסמיכות למועד הבחירות, הרי שלפי חוק תעמולת הבחירות במדינה אסור לדבר על תוכן המיילים אלא רק לאחר סגירת הקלפיות במדינה.

 

בינתיים מתראיינים להם ברחבי העולם נציגים משלל חברות סייבר ומייחסים את הפריצה ופרסום המידע לזרוע הסייבר של הצבא הרוסי. ויטאלי קרמז, ראש מערך מחקר בחברת "פלאשפוינט" האמריקנית המתמחה בניטור סייבר, אמר לסוכנות הידיעות "רויטרס" כי כל הסימנים מובילים למוסקבה. לדבריו, קבוצה בשם "APT-28" הקשורה בקשר ישיר למודיעין הרוסי, היא שעומדת מאחורי ניסיונות הפריצה הקודמים, שלא צלחו. וזה לא רק קרמז, גם מומחים אחרים מייחסים את הפריצה לחברי הקבוצה המסתורית הזו.

 

מה אנחנו בעצם יודעים על מי שמכונה "APT-28"? מסתבר שלא מעט.

 

 
הדב הרוסי בפעולה
 הדב הרוסי בפעולה   צילום: fotlia 
 

הם כונו בשלל שמות (בהתאם לחברת האבטחה שעלתה על עקבותיהם או למבצע בו היו מעורבים). החל מ: Pawn Storm דרך Fancy Bear ועד Sofacy Group Sednit ו-STRONTIUM - אך הם ידועים יותר בשמם המקצועי APT28, ראשי תיבות של "איום מתקדם וממושך מספר 28" ׁׁ("Advanced Persistent Threat 28").


מדוח של חברת האבטחה היפנית טרנד מיקרו, שעסק בלעדית בקבוצה, עולה כי עדויות לקיומה של הקבוצה הזו מתוארכות עד לאי שם בשלהי 2007. בעוד שבמהלך השנים שעברו מאז, פעילות קבוצת ההאקרים החמקמקה הזו התמקדה בעיקר באינטרסים רוסיים שונים ברחבי העולם, הרי שבשנתיים האחרונות זו התמקדה בעיקר בארה"ב ובנות בריתה, והגיעה לשיאה בפריצה למחשבי המפלגה הדמוקרטית בארה"ב והפצת המיילים הסודיים שמצאו במהלך חודשי הבחירות האינטנסיביים במדינה.

 

 
דונלד טראמפ והילרי קלינטון בעימות הנשיאותי הראשון
 דונלד טראמפ והילרי קלינטון בעימות הנשיאותי הראשון   צילום: רויטרס 
 
 

בדוח מיוחד שפירסם משרד ההגנה האמריקני בשיתוף עם הסוכנות הפדרלית ב-29 לדצמבר 2016, ועסק בפריצה למחשבי המפלגה הדמוקרטית ולמה שכונה כ"התערבות הרוסית" בבחירות במדינה, נטען כי שתי קבוצות האקרים עיקריות חדרו למחשבי המפלגה.

 

ראשונים היו אלו האקרים מקבוצת ה-APT29, המכונים גם CozyDuke או Cozy Bear. אלה שהו במחשבי המפלגה הדמוקרטית כבר החל משנת 2015. הארגון הזה הוא ככול הנראה זרוע של שרותי הביון הרוסיים - בין אם אלו ה-svr, שירות הביון הנגדי והחיצוני של רוסיה, ובין אם אלו משתייכים לשרות הבטחון הפדרלי, הלא הוא ה-FSB הידוע לשימצה. חברי הארגון הזה פרצו במהלך השנים האחרונות כמעט לכל מסד נתונים אמריקאי רגיש - בין אם זה מחשבי הבית הלבן, המטכ"ל או משרד החוץ. אך ידם של אלו לא הסתפקה רק בוושינגטון והגיעה גם לברזיל, סין, ולמדינות מערב אירופה. הטקטיקה המועדפת על הארגון? שימוש במסעות דיוג (spearphishing) נרחבים. עוד בקורבנות הקבוצה: חברות מסחריות וקונצרנים בינלאומיים.

 

הקבוצה השנייה, חברי APT28, ככל הנראה משתייכים לזרוע המודיעין של צבא הרוסי, ה-GRU ("גה-אר-אוּ"). עיקר מטרותיהם קשורות לאינטרסים רוסיים ברחבי העולם, במיוחד משרדי ממשלה ומפקדות צבאיות. בין המדינות שהקבוצה פעלה בהן היו סין, איראן, ברזיל, ומערב אירופה - בדגש על גרמניה, שם פרצו למסד הנתונים של הבונדסטאג בפריצה מתוקשרת מאוד. גם תחנות טלויזיה ועיתונים היו על הכוונת - וזכורה במיוחד הפריצה שלהם לתחנת הטלוויזיה הצרפתית הגדולה France's TV5 Monde בשנה שעברה. שיטת הפעילות המועדפת אל אלו מתמקדת בהטעייה: הקבוצה ידועה ברישום כוזב של דומיינים שמתחזים לאתרים לגיטימיים בנסיון לחקות אתרים אחרים, דיוג ממוקד, שימוש בנוזקות ובפרצות יום אפס.

 

היו אלו בדיוק השיטות הללו שגרמו למומחי הסייבר ברחבי העולם לקבוע במהירות נחרצת כי חברי הקבוצה עומדים מאחורי פרסום המיילים של מקרון ומפלגותו. על פי קרמז, הרי שאנשי מעבדת המחקר בפלאשפוינט זיהו בחודש האחרון גוף שרכש דומיינים צרפתיים שונים שמחקים דומיינים לגיטימיים של מפלגתו של מקרון. קרמז טוען שהכתובות הללו נוצלו כדי לשלוח לנמענים ואנשי מפתח במפלגת "!En Marche" הודעות דוא"ל המכילות קישורים זדוניים - במטרה שההאקרים יוכלו לקבל גישה למסד הנתונים ולתכתובות מיילים בין חברי המפלגה וראשיה.

 

 
עמנואל מקרון מצביע בבחירות לנשיאות בצרפת, סיבוב שני
 עמנואל מקרון מצביע בבחירות לנשיאות בצרפת, סיבוב שני   צילום: רויטרס 
 

כאמור, חברי הקבוצה השתמשו באותן השיטות כדי לחדור לשגרירויות ברחבי העולם, למחשביהם של נספחים צבאיים זרים ואנשי תקשורת. דפוס הפעולה של הארגון מסתכם בחדירה למחשביה של מטרה כלשהי וגניבה של כל המידע שביכולתה לגנוב. המידע הזה מעובד במפקדת המודיעין הרוסית ואז משוחרר מחדש לציבור באמצעות פלטפורמות אנונימיות דוגמת ויקיליקס, גיטאהב ופייסטבין - במטרה לשרת את הנרטיב הרוסי על ידי שחרור מידע מביך על מדינות שברוסיה רואים כאוייב פוטנציאלי, במטרה לייצר איזה סכסוך בין בעלות ברית או אפילו רק כדי לערער את חוסן הגורם המדובר.

 

ליחידה הזו תפקיד חשוב במה שמכונה עידן מלחמות המידע. אם בעבר מלחמות סייבר תוארו בספרות המקצועית כ"יום הדין", היום ובו החשמל יפסיק לזרום וכל הרמזורים יעצרו על אור ירוק, הרי שבעידן מלחמות המידע לפעולות מסוג זה אין כמעט ערך. הנזק שהדלפת מידע יכולה לגרום לאוייב עולה עשרות מונים על כל פגיעה בנפש שתגרם מפתיחת איזה סכר או שיתוק של תחנת כח. הדיקטטורה הרוסית של פוטין פיצחה את השימוש ביחידות דוגמת APT28 ושיכללה אותו עד לדרגת אמנות. ניתן לראות כי פעילות הקבוצה אותרה כמעט בכל מקום ובו נמצא היה אינטרס רוסי בולט, ולאו דווקא גיאופוליטי. דוגמה לכך ראינו בקיץ האחרון, עת המוניטון של רוסיה כמעצמה בתחום האתלטיקה פחות או יותר הושמד עם פירסום דבר מעורבות הממשל שם בסימום שיטתי של ספורטאים.

 

 
אולימפיאדת ריו
 אולימפיאדת ריו   צילום: צילום מסך - 
 

ביולי 2016, שבועות טרם פתיחת המשחקים האולימפים בריו, החליט הוועד האולימפי להשעות את רוסיה מתחרויות האתלטיקה הקלה בעקבות הממצאים החמורים של דוח הסוכנות העולמית נגד סמים בספורט. בדוח נכתב כי הממשל הרוסי היה שותף מלא ופעיל באספקת החומרים האסורים לספורטאים ובהסתרת השימוש האסור. בתגובה לכך, נפרצו מחשבי WADA, הסוכנות הבינלאומית נגד השימוש בסמים בספורט. הפעולה הזו התבצעה על ידי קמפיין דיוג שכוון כנגד בכירים בסוכנות, אשר נתבקשו להכניס סיסמאות חדשות לעמוד פיקטבי שהתחזה לעמוד לגיטימי של הסוכנות - שיטת הפעולה המוכרת של APT28.

 

במהלך אוגוסט אותה השנה, הודיעו בסוכנות כי נפלו קורבן להאקרים חברי קבוצת "fancybear" שגנבו את מאגר המידע שלהם ופירסמו אותו, כאילו להתריס, באתר בעל הדומיין "fancybear.net". ואם תהיתם מה היה תוכנו של החומר המודלף, הרי שזה הכיל תחילה חומר על אתלטים ואתלטיות מארה"ב - איך לא, ולאחר מכן הודלפו חומרים של אתלטים ממדינות אחרות.

 

לפעולה יוצאת הדופן הזו, קדמו כמה פעולת מתוקשרות אחרות: במהלך שנת 2014, חברי הקבוצה שהו יותר מחצי שנה ברשת הפנימית של הפרלמנט הגרמני, באחת המתקפות החמורות בתולדות גרמניה. שנתיים מאוחר יותר, חברי הקבוצה עמדה מאחורי מתקפת דיוג ממוקדת נוספת שהתמקדה בחברי הבית התחתון של הפרלמנט הגרמני, הבונדסטאג, כמו גם פעילים פוליטים מרחבי הקשת הפוליטית במדינה. החשש שעלה מחשיפת הפעילות הזו, הוא שמידע רגיש שחברי הקבוצה העלו ברישתם, ינוצל במהלך הבחירות במדינה - שיתקיימו בחודשים הקרובים.

 

בשנת 2015 ערוץ הטלויזיה הצרפתי TV5Monde, שנחשב כאחד הערוצים בעלי התפוצה הנרחבת ביותר בעולם, עמד גם הוא תחת מתקפה חריגה, כש-12 תחנות המשתייכות לרשת, הורדו מהאויר למשך יותר משלוש שעות. מנכ"ל הרשת חשף בהמשך כי המתקפה הזו תוכננה להמיט הרס על הרשת ולהשחית ציוד בצורה בלתי הפיכה. התוקפים שהו במערכות החברה פרק זמן ארוך ונראה כי אלו תכננו את פעילותם בקפידה. תחילה נטען כי ההאקרים פעלו מטעם דאע"ש, עובדה שנתמכה בכך שההאקרים כינו עצמם "CyberCaliphate" ובמהלך הארוע הם השתלטו גם על עמוד הפייסבוק של הערצים ופרסמו פרטים של חיילים צרפתיים שנלחמו נגד דאע"ש בעירק ובסוריה. הטוויסט בסיפור הגיעלאחר שהחוקרים שעמדו בראש החקירה חשפו כי  קבוצת ההאקרים שלקחה אחריות על הארוע, למעשה כלל לא קיימת וכי מי שביצע את המתקפה הם ההאקרים המכונים "Fancy Bear" - הלא הם מיודעינו APT28.

 

אל כל אלו הצטרפו מתקפות נוספות על מוסדות של נאט"ו, משרדי ממשל הולנדיים, ומשרד ההגנה וצבא אוקראינה, פעולות שיוחסו גם הן לחברי הקבוצה.

 

 
הדב הרוסי בפעולה
 הדב הרוסי בפעולה   צילום: fotlia 
 

דפוס הפעולה של הקבוצה כולל כמעט תמיד מסע דיוג וניצול של חולשת הגורם האנושי, וגניבת ססמאות על ידי יצירת אתרי דמה המתחזים לאתרים לגיטימיים, תוך כדי שימוש בפרצות יום אפס, כשהמטרה ברוב המקרים היא השפעה על דעת הקהל באמצעות גניבת מידע ופירסומו ברבים. הפעילות הזו היא עדכון לדוקטורינת הלחימה הרוסית, שתמיד כללה מערך לחימה תודעתי; ומה שפעם הופנה כלפי אויב ספציפי, הפך למעשה לפעולה חובקת עולם שנועדה לייצר סביבה נוחה יותר עבור הדב הרוסי. סביבה שמנטרלת את אוייביה, ומוציאה את הנעשה מאחורי הקלעים היישר לאורה המסנוור של השמש.

 

 
 
 
@@@@@@@@@@@@@@@@@@@ ilan @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 
@@@@@@@@@@@@@@@@@@@ ilan @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 
 
תגובות
הוסף תגובה0 תגובות
הוספת תגובה
מאת
 
נושא
 
תוכן
 
 
 
 
תודה! תגובתך התקבלה.
התגובה תתפרסם בכפוף לתנאי האתר.
 
 
 
 
 

כל הזכויות שמורות 2011 © נענע 10 בע"מ
 
 
 
 
כל הזכויות שמורות © Nana10 בע"מ
Video powered by