חברת אבטחת המידע ESET משחררת את דוח פעילות קבוצות התקיפה החדש, שמסכם פעולות משמעותיות שתועדו על ידי חוקרי החברה מאוקטובר 2023 ועד סוף מרץ 2024. הפעולות בהן עוסק הדוח מייצגות את הטווח הרחב של האיומים שגוף המחקר של ESET חקר במהלך התקופה הזאת, ושם דגש על מגמות והתפתחויות עיקריות.
לאחר מתקפת החמאס על ישראל באוקטובר 2023, ובמהלך המלחמה המתמשכת בעזה, חברת ESET זיהתה עלייה משמעותית בפעילות מצד קבוצות תקיפה המזוהות עם איראן. קבוצות המזוהות עם רוסיה התרכזו בריגול בתוך האיחוד האירופי והמשיכו במתקפות נגד אוקראינה.
מנגד, מספר גורמי איום המזוהים עם סין ניצלו חולשות אבטחה במכשירים המיועדים לציבור, כמו רשתות VPN וחומות אש, וכן בתוכנות כמו Confluence ו-Microsoft Exchange Server, כדי לקבל גישה ראשונית למטרות בתחומי עיסוק שונים. קבוצות המזוהות עם צפון קוריאה המשיכו לתקוף חברות בתחום התעופה וההגנה ואת תעשיית המטבעות הדיגיטליים.
״המטרות של מרבית הקמפיינים היו ארגונים ממשלתיים ועסקים בתחומים מסוימים, כמו אלה שהותקפו בעבר במתקפות המתמשכות וחסרות המעצורים כלפי התשתיות האוקראיניות. באירופה זוהו תקיפות מגוונות יותר מצד גורמי איום שונים. קבוצות המזוהות עם רוסיה חיזקו את התמקדותן בריגול אחר האיחוד האירופי, בזמן שגם קבוצות המזוהות עם סין שמרו על עקביות בנוכחותן, מה שמצביע על התעניינות מתמשכת בהתרחשויות באירופה גם מצד קבוצות המזוהות עם רוסיה וגם מצד קבוצות המזוהות עם סין״, אומר ז׳אן-יאן בוטין, מנהל תחום חקר האיומים ב-ESET.
על בסיס דליפת הנתונים מחברת שירותי האבטחה הסינית I-SOON (Anxun), גוף המחקר של ESET יכול לאשר שהקבלן הסיני הזה אכן מעורב בריגול סייבר. ESET עוקבת אחר חלק מפעילויות החברה הזאת כחלק מקבוצת FishMonger. בדוח זה ESET חושפת קבוצת APT חדשה המזוהה עם סין בשם CerenaKeeper, לה יש מאפיינים ייחודיים אך עדיין עשויה להיות קשורה לטביעת הרגל הדיגיטלית של קבוצת Mustang Panda.
באשר לקבוצות תקיפה המזוהות עם איראן, MuddyWater ו-Agrius חדלו מההתמקדות שלהן בריגול סייבר ותקיפה באמצעות כופרות, בהתאמה, ועברו לאסטרטגיות אגרסיביות יותר הכוללות מתקפות מסוג סחר בגישה לרשתות (Access Brokering). במקביל, זוהתה ירידה בפעילותן של OilRig ו-Ballistic Bobcat, מה שעשוי להצביע על שינוי אסטרטגי לפעולות בולטות יותר שמכוונות לישראל.
בנוגע לפעילות המזוהה עם רוסיה, קמפיין ״מבצע Texonto״, שעסק בהפצת מידע מטעה והשפעה פסיכולוגיות (PsyOp) ונחשף ע״י חוקרי ESET, הפיץ מידע שגוי בנוגע למחאות הקשורות בבחירות ברוסיה במטרופולין חרקיב שבמזרח אוקראינה ועורר אי-ודאות בקרב אוקראינים באוקראינה ומחוצה לה.
הדוח מתאר גם ניצול של חולשת zero-day ב-Roundcube ע״י קבוצת Winter Vivern, קבוצה שמזוהה עם האינטרסים של בלארוס לפי הערכות חוקרי ESET. בנוסף, ESET שמה זרקור על קמפיין במזרח התיכון שבוצע ע״י SturgeonPhisher, קבוצה שמזוהה עם האינטרסים של קזחסטן לפי הערכות ESET.
מוצרי ESET מגינים על המערכות של הלקוחות מפני פעילויות זדוניות כמו אלו שמתוארות בדוח הזה. המודיעין המשותף כחלק מהדוח הזה מתבסס בעיקר על נתוני טלמטריה קנייניים של ESET ואומת ע״י חוקרי ESET, שמייצרים דוחות טכניים מעמיקים ועדכוני פעילות תכופים בנוגע לפעילויות של קבוצות APT ספציפיות. ניתוחי מודיעין האיומים האלה, הנקראים ESET APT Reports Premium, מסייעים לארגונים שעוסקים בהגנה על אזרחים, תשתיות לאומיות קריטיות ונכסים משמעותיים מפני מתקפות סייבר של עבריינים וגורמים מדיניים. הדוח הזה כולל רק שבריר מנתוני מודיעין אבטחת הסייבר שמסופק ללקוחות של דוחות ה-APT הפרטיים של ESET.
את דוח פעילות ה-APT המלא של ESET ניתן לקרוא כאן