חוקרי אבטחה חשפו קשר בין שתי מתקפות סייבר גדולות

ESET

חברת אבטחת המידע ESET, המתמחה בתחום האבטחה לתחנות קצה ומובילת המחקר בתחום הסייבר, גילתה עדויות המקשרות בין קבוצת פושעי הסייבר TeleBots הידועה לשמצה ובין Industroyer, הנוזקה המודרנית ההרסנית ביותר הקיימת היום, שמיועדת לפגוע במערכות בקרה תעשייתיות. נוזקה זו אחראית להפסקת החשמל הגדולה בקייב, בירת אוקראינה, בשנת 2016.

קבוצת TeleBots הוכיחה את יכולותיה באמצעות נוזקת NotPetya, נוזקה שמצפינה את תוכנו של הכונן הקשיח ללא יכולת שחזור, ושיבשה חלק גדול מהפעילות העסקית העולמית בשנת 2017. הקבוצה גם הוכיחה את הקשר שלה לנוזקת BlackEnergy, שהביאה להפסקת החשמל הראשונה באוקראינה שנגרמה בשל נוזקה (והקדימה את נוזקת Industroyer שגרמה להפסקת החשמל שהתרחשה שנה לאחר מכן).

"השערות בנוגע לקשר בין נוזקת Industroyer וקבוצת TeleBots החלו לעלות מיד לאחר ש-Industroyer פגעה ברשת החשמל של אוקראינה", אומר אנטון צ'רפנוב, חוקר של חברת ESET שהובילה את החקירה בנוגע לנוזקות Industroyer ו-NotPetya. "עם זאת, לא נמצאה אף ראיה שתומכת בהשערות האלה – עד עכשיו."

באפריל 2018, ESET זיהתה פעילות חדשה מצד קבוצת TeleBots: הקבוצה ניסתה להפיץ דלת אחורית חדשה, המזוהה ע"י ESET בשם Exaramel. הניתוח של ESET מצביע על כך שהדלת האחורית הזו היא גרסה משופרת של הדלת האחורית העיקרית שמשמשת את נוזקת Industroyer – קצה החוט הראשון המקשר בין Industroyer ובין TeleBots.

הגילוי של Exaramel מראה שקבוצת TeleBots ממשיכה להיות פעילה ב-2018, והתוקפים ממשיכים לשפר את הכלים והטקטיקות שלהם", אומר צ'רפנוב. "אנו נמשיך לנטר את הפעילות של הקבוצה הזו".
לעוד עדויות המקשרות בין Industroyer ובין TeleBots, מוזמנים לקרוא את הניתוח בבלוג של ESET.
**הערה לעורכים: כשמחקר של ESET מתאר מתקפות סייבר ועוקב אחר קבוצות סייבר, הוא מאתר קשרים בהתבסס על ניתוחים טכניים כמו דמיון בקוד התוכנה, תשתית שליטה ובקרה משותפת, שרשראות הפעלת נוזקה ועדויות אחרות. מכיוון ש-ESET לא מעורבת באכיפה בשטח או בחקירות מודיעין, אנו לא מעלים השערות בנוגע לשיוך ההתקפות האלה למדינה כזו או אחרת.