קבוצות APT רוסיות מעצימות את התקפות הסייבר על אוקראינה

בעוד המלחמה באוקראינה מתפוגגת וזורמת, עם הסדרי הפסקת האש של היום והמאמצים לפנות בבטחה את האוכלוסייה האזרחית, הסכסוך עדיין משתולל במרחב הווירטואלי. על פי דיווחים של קבוצת ניתוח האיומים של גוגל, שני APTs התומכים בממשלת רוסיה תוקפים מטרות אוקראיניות ויחידה סינית אחת משתמשת במצב הנוכחי כדי לפגוע במטרות אירופיות.

APTs רוסים וסיניים מכוונים לאוקראינה, אירופה

שתי הישויות הפרו-רוסיות שגוגל מדגישה כמובילות את התקפות הסייבר הנוכחיות על מטרות אוקראיניות הן Fancy Bear, הידוע גם בשם APT28 , ו-Ghostwriter - קבוצת איומים מתמשכת פעילה שהייתה מקושרת לבלארוס בסוף 2021.

גוגל גם מדווחת על עלייה בפעילות של ה-APT שנקראמוסטנג פנדה, המקושרת עם שחקנים סינים. התלבושת הסינית מכוונת כעת לגורמים שבסיסם באירופה, תוך שימוש בפתיונות דיוג הקשורים לסכסוך המתמשך ולזרימת הפליטים במספר מדינות באירופה.

התקפות הדיוג ששוגרו על ידי APT פרו-רוסים משתמשות בכתובות דוא"ל שנפרצו בעבר ומפנות קורבנות פוטנציאליים לדפים הנשלטים על ידי ה-APT - נוהל דיוג סטנדרטי ברובו. גוגל זיהתה את Ghostwriter משיקה קמפיינים של פישינג נגד גופים צבאיים וממשלתיים אוקראינית ופולנית כאחד.

גוגל דיווחה שמספר דומיינים המשמשים לדיוג אישורים כבר נחסמו באמצעות פונקציונליות ה"גלישה הבטוחה" של גוגל. הדומיינים כללו שמות יוצאי דופן כגון "i dot ua-passport dot top" ו-"login dot credentials-email dot space".

מוסטנג פנדה מנצלת את מצב הפליטים הנוכחי

בינתיים, מוסטנג פנדה הסינית שולחת פתיונות דיוג לגופים אירופיים, ומצרפת קבצים זדוניים במיילים עם שמות המצביעים על מידע חשוב או דחיפות כלשהי. הדוח של גוגל מזכיר קבצים מצורפים עם שמות קבצים כגון "המצב בגבולות האיחוד האירופי עם Ukraine.zip". הקובץ המצורף יכיל קובץ הפעלה שפועל בתור הורדה עבור המטען הסופי.

קבוצת ניתוח האיומים של גוגל כבר עשתה את ההסדרים הדרושים והודיעה על כך לכל הגופים והרשויות במדינות שאליהן ממקדים קמפיינים הדיוג.