סייבר רוסיה פרצות אבטחה ריגול סייבר Microsoft Office DNS hijacking פורסט בליזארד APT28 Fancy Bear אבטחת רשתות

מתקפת סייבר רוסית חודרת לרשתות באמצעות רוטרים מיושנים

חוקרי אבטחת מידע חשפו מתקפת סייבר מתוחכמת שבוצעה על ידי קבוצת האקרים רוסית המכונה 'פורסט בליזארד' (המזוהה גם כ-APT28 וכ-Fancy Bear). התוקפים ניצלו פרצות ידועות ברוטרים מיושנים כדי לגנוב אסימוני זיהוי של משתמשי Microsoft Office מיותר מ-18,000 רשתות ברחבי העולם, ללא צורך בהתקנת תוכנות זדוניות כלשהן.

איך זה עבד: מניפולציה על הגדרות DNS

על פי הדיווח של חברת Lumen, המתקפה התבססה על ניצול פרצות ידועות ברוטרים מיושנים מסוג Mikrotik ו-TP-Link, אשר לרוב אינם מקבלים עדכוני אבטחה. התוקפים שינו את הגדרות ה-DNS של הרוטרים כך שיפנו לשרתי DNS בשליטתם, במקום לשרתי DNS לגיטימיים.

בכך, כל בקשת DNS של משתמשי הרשת הופנתה לשרתי השליטה של התוקפים, אשר יכלו ליירט אסימוני זיהוי של Microsoft Office המועברים לאחר התחברות מוצלחת ואימות דו-גורמי.

מדוע המתקפה הייתה כל כך יעילה?

  • אין צורך בתוכנות זדוניות: התוקפים לא התקינו כל תוכנה ברוטרים, אלא ניצלו פרצות קיימות.
  • השפעה רחבה: לאחר שינוי הגדרות ה-DNS ברוטר אחד, כל משתמשי הרשת המקומית היו חשופים ליירוט אסימוני הזיהוי שלהם.
  • אסימוני OAuth נגנבים ללא פישינג: התוקפים קיבלו גישה ישירה לחשבונות המשתמשים מבלי להזדקק לפרטי התחברות או קודי אימות חד-פעמיים.

מי היו היעדים העיקריים?

על פי הדיווח, קבוצת 'פורסט בליזארד' התמקדה בעיקר ב:

  • סוכנויות ממשלתיות, כולל משרדי חוץ ואכיפת חוק
  • ספקי דואר אלקטרוני של צד שלישי
  • ארגונים בולטים ב-5,000 מכשירי צרכנים שנחשפו למתקפה

רקע על קבוצת 'פורסט בליזארד'

קבוצת 'פורסט בליזארד' מזוהה עם יחידת המודיעין הצבאי הרוסי (GRU) וידועה בפעילויותיה בתחום הסייבר. בין היתר, היא אחראית לפריצות למטה המפלגה הדמוקרטית האמריקאית ולמטה קמפיין קלינטון בשנת 2016, בניסיון להתערב בבחירות לנשיאות ארצות הברית.

תגובת מיקרוסופט ובריטניה

מיקרוסופט פרסמה הודעה רשמית בה היא מזהירה מפני המתקפה ומציעה הנחיות לאבטחת רשתות. בנוסף, המרכז הלאומי לאבטחת סייבר בבריטניה (NCSC) פרסם התרעה דומה, והדגיש את הסכנות הנובעות ממתקפות מסוג זה.

"אנשים מחפשים תמיד תוכנות זדוניות מתוחכמות, אבל לפעמים הפתרון הוא פשוט וישן יותר. התוקפים לא השתמשו בתוכנות זדוניות, אלא ניצלו פרצות קיימות בדרך שעובדת" — ריאן אנגליש, חוקר אבטחה ב-Black Lotus Labs

מה ניתן לעשות כדי להגן על עצמך?

חוקרי האבטחה ממליצים לנקוט בצעדים הבאים כדי להפחית את הסיכון:

  • עדכון קבוע של קושחות הרוטר: ודאו שהרוטר שלכם מקבל עדכוני אבטחה שוטפים.
  • שינוי סיסמאות ברירת המחדל: החליפו סיסמאות ברירת המחדל של הרוטר והנתב.
  • שימוש ב-DNS מאובטח: הגדרו שימוש בשרתי DNS מאובטחים כגון Google DNS או Cloudflare.
  • ניטור פעילות חשודה: בדקו באופן קבוע את הגדרות הרשת שלכם לאיתור שינויים בלתי מורשים.
מקור: Krebs on Security
סין מגבירה את המעבר לאנרגיה מתחדשת בעקבות המשבר באיראן: ניתוח כיסוי התקשורת הסינית
← הקודם

סין מגבירה את המעבר לאנרגיה מתחדשת בעקבות המשבר באיראן: ניתוח כיסוי הת...

 אזהרה מקדימה: ירידה חדה בקבלת קצבאות מזון באריזונה מעוררת חשש להשפעה ארצית בעקבות חוקי טראמפ
הבא →

אזהרה מקדימה: ירידה חדה בקבלת קצבאות מזון באריזונה מעוררת חשש להשפעה א...