זרקור על קבוצת התקיפה Asylum Ambuscade

למאמר הבא
ESET

מחקר חדש אודות קבוצת Asylum Ambuscade, סוקר את קבוצת פשיעת הסייבר שהפעילה קמפיינים של ריגול סייבר החל משנת 2020 לכל הפחות ועסקה בפעולות ריגול סייבר כעיסוק משני.

ESET איתרה פריצות קודמות אצל פקידים ממשלתיים ואצל עובדים בחברות ממשלתיות במדינות מרכז-אירופאיות ובארמניה. על פי הדיווחים, בשנת 2022 הקבוצה תקפה פקידי ממשל במספר מדינות אירופאיות הגובלות באוקראינה.

גוף המחקר של ESET מעריך שמטרתם של התוקפים היא לגנוב מידע מסווג ופרטי גישה לתיבות דוא״ל מקוונות מפורטלים רשמיים של ממשלות ושל ספקי שירותי דוא״ל מקוון. בדרך כלל, קבוצת Asylum Ambuscade ממקדת את מתקפותיה בעסקים קטנים-בינוניים ובאנשים פרטיים בצפון אמריקה ובאירופה.

״נראה שקבוצת Asylum Ambuscade מתרחבת ומפעילה מפעם לפעם מספר קמפיינים לריגול סייבר שהחלו לאחרונה כעיסוק צדדי, ומופנים כלפי ממשלות במרכז אסיה ובאירופה. זה די חריג לתפוס קבוצת פשעי סייבר שמבצעת פעולות ריגול סייבר ייעודיות, ולכן אנו מאמינים שהחוקרים צריכים לעקוב אחרי פעילויותיה מקרוב״, מסביר מתיו פאו, שחקר את פעולותיה של הקבוצה.

בשנת 2022, כשהקבוצה תקפה פקידי ממשל במספר מדינות אירופאיות הגובלות באוקראינה, שרשרת הפריצה החלה בהודעת דוא״ל מסוג דיוג ממוקד (Spearphishing) שכללה קובץ מצורף זדוני מסוג Excel או Word. אם המחשב נמצא ״מעניין״, התוקפים הפעילו כלי המכונה AHKBOT, כלי הורדה שניתן להוסיף לו תוספים שנועדו לרגל אחרי המחשב של הקורבן. תוספים אלו מאפשרים יכולות מגוונות, ביניהן צילום המסך, מעקב אחר ההקשות במקלדת, גניבת סיסמאות מדפדפני אינטרנט, הורדת קבצים וגניבת מידע.

אמנם הקבוצה נכנסה לאור הזרקורים בגלל פעילויות ריגול הסייבר שלה, אך במרבית הזמן והחל משנת 2020 היא הפעילה בעיקר קמפיינים של פשיעת סייבר. החל מינואר 2022, גוף המחקר של ESET הצליח למנות מעל 4,500 קורבנות של הקבוצה ברחבי העולם. אמנם רוב הקורבנות נמצאים בצפון אמריקה, אך חשוב לציין שגילינו קורבנות גם באסיה, אפריקה ודרום אמריקה. טווח המטרות הוא רחב במיוחד וכולל בעיקר אנשים פרטיים, סוחרים במטבעות דיגיטליים, לקוחות בנקים ועסקים קטנים-בינוניים מתעשיות שונות.

״שרשרת האירועים של מתקפת פשיעת סייבר של קבוצת Asylum Ambuscade דומה באופן כללי לזו של מתקפות ריגול הסייבר שלה. ההבדל העיקרי הוא וקטור התקיפה, שעשוי להיות מודעה זדונית בגוגל שמפנה לאתר אינטרנט הכולל קובץ JavaScript זדוני או הפניות HTTP מרובות״, מוסיף פאו.

תפוצת הקורבנות ברחבי העולם החל מינואר 2022