קמפיין ריגול סייבר מכוון לחברות אנרגיה מתחדשת
■קמפיין ריגול סייבר בקנה מידה גדול המכוון בעיקר לחברות אנרגיה מתחדשת וטכנולוגיה תעשייתית התגלה כפעיל לפחות מאז 2019, ומכוון ליותר מחמש עשרה ישויות ברחבי העולם. הקמפיין התגלה על ידי חוקר האבטחה וויליאם תומאס, חבר בקבוצת אמון Curated Intelligence, שהשתמש בטכניקות OSINT (בינה בקוד פתוח) כמו סריקות DNS.
הניתוח של תומס גילה כי התוקף משתמש בערכת כלים מותאמת אישית של 'תיבת דואר', חבילת דיוג לא מתוחכמת שנפרסה על התשתית של האקרים, כמו גם אתרים לגיטימיים שנפגעו כדי לארח דפי פישינג. רוב דפי ההתחזות התארחו בדומיינים "*.eu3[.]biz", "*.eu3[.]org" ו-"*.eu5[.]net", בעוד שרוב האתרים שנפגעו נמצאים ב- ברזיל ("*.com[.]br").
■יעד פושעי הסייבר - משק האנרגיה המתחדשת
מטרת קמפיין הפישינג היא לגנוב את אישורי הכניסה של העובדים בחברות אנרגיה מתחדשת, ארגונים להגנת הסביבה וטכנולוגיה תעשייתית בכלל.
דוגמות לארגונים שנבחרו על ידי התקפות הדיוג כוללות:
• שניידר אלקטריק
• האניוול
• וואווי
• הייסיליקון
• טלקום רומניה
• אוניברסיטת ויסקונסין
• אוניברסיטת קליפורניה סטייט
• אוניברסיטת יוטה סטייט
• תחנת הכוח ההידרואלקטרית קרדז'אלי (בולגריה)
• CEZ אלקטרו (בולגריה)
• מועצת משאבי האוויר של קליפורניה
• רשות השירותים העירונית של מחוז מוריס
• מכון המחקר לייעור טייוואן
• תוכנית גילוי פחמן
• שרמה (חברת מיחזור איטלקית)
החוקר תומאס, לא הצליח לתפוס דגימות כלשהן של הודעות הדיוג ששימשו במסע הפרסום. אך, סבור שהמיילים שהשתמשו בפיתוי היה "אחסון תיבת הדואר שלך מלא" על סמך דפי הנחיתה.
■פושע סייבר ריגול - אקר לא ידוע
החוקר תומאס, לא יכול היה לייחס את הקמפיין הזה לפושעי סייבר ספציפיים, אך הראיות מצביעות על שני אשכולות של פעילות, אחד מ-APT28 (הידוע בשם Fancy Bear) ואחד מ-Konni (אקרים מצפון קוריאה). בנוסף, חוקרי קבוצת ניתוח האיומים של Google מצאו לאחרונה פעילות דיוג המיוחסת ל-APT28, המשתמש במספר דומיינים של "eu3[.]biz".
כמו כן, נקודת חפיפה לשתי הקבוצות היא ששמות המארחים המשמשים לאישורי דיוג הם בבעלות Zetta Hosting Solutions, שם שהופיע בדוחות אנליסטים רבים לאחרונה.
"Konni" השתמש בדומיינים של Zetta Hosting Solution בקמפיין המיקוד של Diplomat שנחשף על ידי Cluster25, וגם בקמפיין T406 (האקרים קוריאנים) שנותח על ידי פרופוינט.
לדברי החוקר תומאס, קבוצות פריצה רבות של APT משתמשות ב-Zetta בקמפיינים זדוניים.
"זטה נמצא בשימוש רב על ידי APTs ותוכנות זדוניות, ואני אתפלא מאוד אם הם לא ידעו. הם לא חברה ענקית. שחקנים מאיימים אוהבים גם סוגים אלה של שירותי שמות מארח בחינם שבהם הם יכולים להגדיר תשתית במהירות, באופן חופשי ואנונימי.". עם זאת, החוקר הדגיש שאין לו הוכחות או ראיות קונקרטיות לכך ש-Zetta Hosting עוזרת ביודעין לקמפיינים זדוניים.
■פושעי הסייבר התמקדו בבולגריה ובמניע הפוטנציאלי
מלבד שני הגופים שהוזכרו בסעיף הוויקטימולוגיה לעיל, החוקר הבחין במקבץ קטן של פעילות משנת 2019 הקשור לאותה תשתית המכוונת למספר בנקים בולגריים.
החוקר סבור כי היריב נתמך כלכלית על ידי גופים המעוניינים בדלק מאובן, במיוחד מישהו שמוכר אנרגיה לבולגריה שרואה באנרגיה מתחדשת איום.
ראוי להדגיש שהפילוח הקודם של בנקים יכול להיות ניסיון לאסוף מודיעין על מימון ובנייה של מתקני אנרגיה מתחדשת חדשים.
לסיכום, APT28 היא קבוצה רוסית המקושרת למדינה, וידוע כי בולגריה מייבאת כמויות משמעותיות של גז טבעי רוסי, כך שלקשר בין הקמפיין הזה לבין פושעי סייבר המסוימים, יש בסיס הגיוני, גם אם הוא לא הוכח בשלב זה.
הפניות:
https://www.bleepingcomputer.com/news/security/cyber-espionage-campaign-targets-renewable-energy-companies
■קמפיין ריגול סייבר בקנה מידה גדול המכוון בעיקר לחברות אנרגיה מתחדשת וטכנולוגיה תעשייתית התגלה כפעיל לפחות מאז 2019, ומכוון ליותר מחמש עשרה ישויות ברחבי העולם. הקמפיין התגלה על ידי חוקר האבטחה וויליאם תומאס, חבר בקבוצת אמון Curated Intelligence, שהשתמש בטכניקות OSINT (בינה בקוד פתוח) כמו סריקות DNS.
הניתוח של תומס גילה כי התוקף משתמש בערכת כלים מותאמת אישית של 'תיבת דואר', חבילת דיוג לא מתוחכמת שנפרסה על התשתית של האקרים, כמו גם אתרים לגיטימיים שנפגעו כדי לארח דפי פישינג. רוב דפי ההתחזות התארחו בדומיינים "*.eu3[.]biz", "*.eu3[.]org" ו-"*.eu5[.]net", בעוד שרוב האתרים שנפגעו נמצאים ב- ברזיל ("*.com[.]br").
■יעד פושעי הסייבר - משק האנרגיה המתחדשת
מטרת קמפיין הפישינג היא לגנוב את אישורי הכניסה של העובדים בחברות אנרגיה מתחדשת, ארגונים להגנת הסביבה וטכנולוגיה תעשייתית בכלל.
דוגמות לארגונים שנבחרו על ידי התקפות הדיוג כוללות:
• שניידר אלקטריק
• האניוול
• וואווי
• הייסיליקון
• טלקום רומניה
• אוניברסיטת ויסקונסין
• אוניברסיטת קליפורניה סטייט
• אוניברסיטת יוטה סטייט
• תחנת הכוח ההידרואלקטרית קרדז'אלי (בולגריה)
• CEZ אלקטרו (בולגריה)
• מועצת משאבי האוויר של קליפורניה
• רשות השירותים העירונית של מחוז מוריס
• מכון המחקר לייעור טייוואן
• תוכנית גילוי פחמן
• שרמה (חברת מיחזור איטלקית)
החוקר תומאס, לא הצליח לתפוס דגימות כלשהן של הודעות הדיוג ששימשו במסע הפרסום. אך, סבור שהמיילים שהשתמשו בפיתוי היה "אחסון תיבת הדואר שלך מלא" על סמך דפי הנחיתה.
■פושע סייבר ריגול - אקר לא ידוע
החוקר תומאס, לא יכול היה לייחס את הקמפיין הזה לפושעי סייבר ספציפיים, אך הראיות מצביעות על שני אשכולות של פעילות, אחד מ-APT28 (הידוע בשם Fancy Bear) ואחד מ-Konni (אקרים מצפון קוריאה). בנוסף, חוקרי קבוצת ניתוח האיומים של Google מצאו לאחרונה פעילות דיוג המיוחסת ל-APT28, המשתמש במספר דומיינים של "eu3[.]biz".
כמו כן, נקודת חפיפה לשתי הקבוצות היא ששמות המארחים המשמשים לאישורי דיוג הם בבעלות Zetta Hosting Solutions, שם שהופיע בדוחות אנליסטים רבים לאחרונה.
"Konni" השתמש בדומיינים של Zetta Hosting Solution בקמפיין המיקוד של Diplomat שנחשף על ידי Cluster25, וגם בקמפיין T406 (האקרים קוריאנים) שנותח על ידי פרופוינט.
לדברי החוקר תומאס, קבוצות פריצה רבות של APT משתמשות ב-Zetta בקמפיינים זדוניים.
"זטה נמצא בשימוש רב על ידי APTs ותוכנות זדוניות, ואני אתפלא מאוד אם הם לא ידעו. הם לא חברה ענקית. שחקנים מאיימים אוהבים גם סוגים אלה של שירותי שמות מארח בחינם שבהם הם יכולים להגדיר תשתית במהירות, באופן חופשי ואנונימי.". עם זאת, החוקר הדגיש שאין לו הוכחות או ראיות קונקרטיות לכך ש-Zetta Hosting עוזרת ביודעין לקמפיינים זדוניים.
■פושעי הסייבר התמקדו בבולגריה ובמניע הפוטנציאלי
מלבד שני הגופים שהוזכרו בסעיף הוויקטימולוגיה לעיל, החוקר הבחין במקבץ קטן של פעילות משנת 2019 הקשור לאותה תשתית המכוונת למספר בנקים בולגריים.
החוקר סבור כי היריב נתמך כלכלית על ידי גופים המעוניינים בדלק מאובן, במיוחד מישהו שמוכר אנרגיה לבולגריה שרואה באנרגיה מתחדשת איום.
ראוי להדגיש שהפילוח הקודם של בנקים יכול להיות ניסיון לאסוף מודיעין על מימון ובנייה של מתקני אנרגיה מתחדשת חדשים.
לסיכום, APT28 היא קבוצה רוסית המקושרת למדינה, וידוע כי בולגריה מייבאת כמויות משמעותיות של גז טבעי רוסי, כך שלקשר בין הקמפיין הזה לבין פושעי סייבר המסוימים, יש בסיס הגיוני, גם אם הוא לא הוכח בשלב זה.
הפניות:
https://www.bleepingcomputer.com/news/security/cyber-espionage-campaign-targets-renewable-energy-companies
קמפיין ריגול סייבר מכוון לחברות אנרגיה מתחדשת
■קמפיין ריגול סייבר בקנה מידה גדול המכוון בעיקר לחברות אנרגיה מתחדשת וטכנולוגיה תעשייתית התגלה כפעיל לפחות מאז 2019, ומכוון ליותר מחמש עשרה ישויות ברחבי העולם. הקמפיין התגלה על ידי חוקר האבטחה וויליאם תומאס, חבר בקבוצת אמון Curated Intelligence, שהשתמש בטכניקות OSINT (בינה בקוד פתוח) כמו סריקות DNS.
הניתוח של תומס גילה כי התוקף משתמש בערכת כלים מותאמת אישית של 'תיבת דואר', חבילת דיוג לא מתוחכמת שנפרסה על התשתית של האקרים, כמו גם אתרים לגיטימיים שנפגעו כדי לארח דפי פישינג. רוב דפי ההתחזות התארחו בדומיינים "*.eu3[.]biz", "*.eu3[.]org" ו-"*.eu5[.]net", בעוד שרוב האתרים שנפגעו נמצאים ב- ברזיל ("*.com[.]br").
■יעד פושעי הסייבר - משק האנרגיה המתחדשת
מטרת קמפיין הפישינג היא לגנוב את אישורי הכניסה של העובדים בחברות אנרגיה מתחדשת, ארגונים להגנת הסביבה וטכנולוגיה תעשייתית בכלל.
דוגמות לארגונים שנבחרו על ידי התקפות הדיוג כוללות:
• שניידר אלקטריק
• האניוול
• וואווי
• הייסיליקון
• טלקום רומניה
• אוניברסיטת ויסקונסין
• אוניברסיטת קליפורניה סטייט
• אוניברסיטת יוטה סטייט
• תחנת הכוח ההידרואלקטרית קרדז'אלי (בולגריה)
• CEZ אלקטרו (בולגריה)
• מועצת משאבי האוויר של קליפורניה
• רשות השירותים העירונית של מחוז מוריס
• מכון המחקר לייעור טייוואן
• תוכנית גילוי פחמן
• שרמה (חברת מיחזור איטלקית)
החוקר תומאס, לא הצליח לתפוס דגימות כלשהן של הודעות הדיוג ששימשו במסע הפרסום. אך, סבור שהמיילים שהשתמשו בפיתוי היה "אחסון תיבת הדואר שלך מלא" על סמך דפי הנחיתה.
■פושע סייבר ריגול - אקר לא ידוע
החוקר תומאס, לא יכול היה לייחס את הקמפיין הזה לפושעי סייבר ספציפיים, אך הראיות מצביעות על שני אשכולות של פעילות, אחד מ-APT28 (הידוע בשם Fancy Bear) ואחד מ-Konni (אקרים מצפון קוריאה). בנוסף, חוקרי קבוצת ניתוח האיומים של Google מצאו לאחרונה פעילות דיוג המיוחסת ל-APT28, המשתמש במספר דומיינים של "eu3[.]biz".
כמו כן, נקודת חפיפה לשתי הקבוצות היא ששמות המארחים המשמשים לאישורי דיוג הם בבעלות Zetta Hosting Solutions, שם שהופיע בדוחות אנליסטים רבים לאחרונה.
"Konni" השתמש בדומיינים של Zetta Hosting Solution בקמפיין המיקוד של Diplomat שנחשף על ידי Cluster25, וגם בקמפיין T406 (האקרים קוריאנים) שנותח על ידי פרופוינט.
לדברי החוקר תומאס, קבוצות פריצה רבות של APT משתמשות ב-Zetta בקמפיינים זדוניים.
"זטה נמצא בשימוש רב על ידי APTs ותוכנות זדוניות, ואני אתפלא מאוד אם הם לא ידעו. הם לא חברה ענקית. שחקנים מאיימים אוהבים גם סוגים אלה של שירותי שמות מארח בחינם שבהם הם יכולים להגדיר תשתית במהירות, באופן חופשי ואנונימי.". עם זאת, החוקר הדגיש שאין לו הוכחות או ראיות קונקרטיות לכך ש-Zetta Hosting עוזרת ביודעין לקמפיינים זדוניים.
■פושעי הסייבר התמקדו בבולגריה ובמניע הפוטנציאלי
מלבד שני הגופים שהוזכרו בסעיף הוויקטימולוגיה לעיל, החוקר הבחין במקבץ קטן של פעילות משנת 2019 הקשור לאותה תשתית המכוונת למספר בנקים בולגריים.
החוקר סבור כי היריב נתמך כלכלית על ידי גופים המעוניינים בדלק מאובן, במיוחד מישהו שמוכר אנרגיה לבולגריה שרואה באנרגיה מתחדשת איום.
ראוי להדגיש שהפילוח הקודם של בנקים יכול להיות ניסיון לאסוף מודיעין על מימון ובנייה של מתקני אנרגיה מתחדשת חדשים.
לסיכום, APT28 היא קבוצה רוסית המקושרת למדינה, וידוע כי בולגריה מייבאת כמויות משמעותיות של גז טבעי רוסי, כך שלקשר בין הקמפיין הזה לבין פושעי סייבר המסוימים, יש בסיס הגיוני, גם אם הוא לא הוכח בשלב זה.
הפניות:
https://www.bleepingcomputer.com/news/security/cyber-espionage-campaign-targets-renewable-energy-companies
English
French
Spanish
Portuguese
Deutsch
Turkish
Italiano
Russian
Romaian
Portuguese (Brazil)
Greek
Hebrew