מיקרוסופט חשפה קמפיין ריגול בסייבר כנגד שגרירויות זרות במוסקבה

צוות Microsoft Threat Intelligence חשף קמפיין ריגול מצד גורם מדיני-רוסי בשם Secret Blizzard, הממוקד בשגרירויות זרות במוסקבה. במסגרת הקמפיין, הקבוצה עושה שימוש בעמדת "אויב באמצע" (AiTm – Adversary in the Middle), כדי לפרוס את נוזקת ApolloShadow, שנבנתה במיוחד על ידם. טכניקת ה-AiTM מתארת מצב בו התוקף ממקם עצמו "באמצע", בין רשתות או מכשירים, כדי ליירט ולשלוט בתעבורה ביניהם.

נוזקה זו מסוגלת להתקין תעודת שורש אמינה (Trusted Root Certificate) המתחזה לתעודות של תוכנת האנטי וירוס Kaspersky, במטרה לגרום למכשירים להאמין שהאתרים המופעלים על ידי התוקפים הם לגיטימיים. כך מצליחים התוקפים לשמור דריסת רגל ממושכת במכשירים של גורמים דיפלומטיים, ככל הנראה לצרכי איסוף מודיעין. הקמפיין, שפועל מאז 2024, מהווה סיכון חמור לשגרירויות, משלחות דיפלומטיות וארגונים רגישים הפועלים במוסקבה, במיוחד כאלה המשתמשים בשירותי תקשורת מקומיים.

בעבר העריכו במיקרוסופט כי הקבוצה פועלת גם בתוך שטח רוסיה נגד גורמים זרים ומקומיים. כעת, זו הפעם הראשונה שבה החברה מאשרת כי לקבוצה יש יכולת לפעול ברמת ספקי שירותי אינטרנט. כלומר, אנשי דיפלומטיה המשתמשים בספקי תקשורת מקומיים ברוסיה נמצאים בסיכון גבוה, מאחר ש-Secret Blizzard, פועלים מתוך תשתיות הספקים עצמם. הקבוצה ככל הנראה נעזרת במערכות יירוט התקשורת של רוסיה, כגון SORM (מערכת לפעילות חקירה מבצעית), אשר לפי ההערכה ממלאות תפקיד מרכזי בפעילות הנוכחית, זאת בהתחשב בהיקפה הנרחב.

שימוש במערכות היירוט, הכוללות בין היתר התקנה של תעודות שורש זדוניות, מאפשר לתוקפים לבצע TSL\SSL Stripping, כלומר להסיר את שכבת ההצפנה מהתקשורת באינטרנט, כך שרוב הגלישה של הקורבן נחשפת בטקסט גלוי. בעבר Secret Blizzard השתמשה בטכניקות דומות כדי להדביק משרדי חוץ באירופה, באמצעות הונאה להורדת מתקין Flash מזויף משרת שנשלט על ידם.

כיצד ניתן להגן כנגד המתקפה?

מיקרוסופט ממליצה לארגונים להגן על עצמם בכמה דרכים: העברת כלל תעבורת הרשת דרך חיבור מוצפן לרשת אמינה, או שימוש בספק אינטרנט חלופי – לדוגמה, חיבור לוויני, במדינה שאינה שולטת בתשתיות הספק.

בנוסף, כדי להקשות על תוקפים ולעקוף אותם בזמן, חשוב לפעול לפי עקרון "המינימום ההכרחי" בהרשאות, כלומר לתת לכל משתמש את ההרשאות שהוא באמת צריך. כמו כן, כדאי להשתמש באימות דו-שלבי (MFA) ולבצע בדיקות שוטפות לחשבונות עם הרשאות גבוהות.

מומלץ לא להשתמש בחשבונות ניהוליים שיש להם גישה לכל המערכת, ולהגביל את כמות המשתמשים שיש להם הרשאות ניהול מקומיות. בהמשך לכך, חשוב לבדוק באופן קבוע קבוצות שיש להן גישה ניהולית גבוהה כמו: אדמיניסטרטורים, Remote Desktop Users, וגם Enterprise Admins. תוקפים עלולים להוסיף את עצמם לקבוצות אלה כדי לשמור על גישה למערכת מבלי להתגלות.

צעדים אלה עוזרים לצמצם את האפשרויות שעומדות לרשות התוקפים, ומפחיתים את הסיכון שהתקיפה תתפשט בארגון. אף שקמפיין זה ממוקד בתוך רוסיה, ההגנה רלוונטית לכל ארגון, בכל מקום, המעוניין להפחית סיכון מול איומים דומים.