This post is also available in:
English (אנגלית)
מתקפת פישינג מתוחכמת המכוונת לרשתות ממשלתיות וצבאיות באירופה זוכה לתשומת לב בשל השימוש החדשני שלה בתכונות Remote Desktop Protocol (RDP) כדי לפגוע בשקט במערכות. הקמפיין, המיוחס לקבוצת סייבר רוסית, הוא דוגמה מצוינת לאיום הגובר הנשקף מ-APTs.
המתקפה, שזוהתה על ידי קבוצת מודיעין האיומים של גוגל (GTIG) וקוטלגה כ-UNC5837, מנצלת שתי תכונות RDP פחות ידועות: resource redirection ו-RemoteApps. בעוד ש-RDP משמש לעתים קרובות לחיבורים מרוחקים לגיטימיים, קמפיין זה עוקף טכניקות השתלטות RDP טיפוסיות. במקום "חטיפה" נראית לעין של המסך, התוקפים ניגשים בשקט לנתונים של הקורבן באמצעות תכונות מתקדמות אלה.
Resource redirection מאפשר לתוקפים למפות קבצים מהמערכת שנתקפה ישירות לשרתים שלהם. RemoteApps מאפשר להם להפעיל יישום הנשלט על-ידי תוקף, המופיע כתוכנית רגילה על מסך הקורבן – תוך הסתרת הפעילות הזדונית. שיטה זו מספקת לתוקפים גישה בלתי מוגבלת לקבצים רגישים, נתוני לוח ההעתקה (שעשויים להכיל סיסמאות או נתונים אחרים), ואפילו קלט חי מהמערכת של הקורבן.
אלמנט הפישינג בהתקפה הוא גם ערמומי ביותר. הקורבנות מקבלים הודעות דוא"ל שנראות כאילו הגיעו משיתוף פעולה לגיטימי בין אמזון, מיקרוסופט וממשלת אוקראינה. הודעות דוא"ל אלה מכילות קובץ מצורף שנראה תמים לכאורה שכותרתו "AWS Secure Storage Connection Stability Test". הקובץ המצורף, עם זאת, הוא קובץ RDP עם אישור חוקי של Let's Encrypt, מה שגורם למערכת של הקורבן להפעיל סשן RDP יוצא לשרת מרוחק הנשלט על ידי התוקפים.
לאחר פתיחת קובץ ה-RDP, לתוקפים ניתנת גישה ישירה למערכת של הקורבן מבלי להפעיל התראות חומת אש. הדבר מאפשר להם לעקוב בשקט אחר פעילויות, לגנוב מידע רגיש ואפילו לשלוט בציוד היקפי של מערכת כמו מדפסות והתקני שמע.
על פי גוגל, קמפיין זה הוא חלק ממגמה רחבה יותר המשמשת את קבוצות הסייבר הרוסיות שמנסות לתקוף לארגונים במגזרים קריטיים. על פי דיווחים, חדירות מבוססות RDP מקושרות יותר ויותר להתקפות כופרה ופעילויות זדוניות אחרות. מומחים מזהירים כי ארגונים חייבים ליישם אמצעי אבטחה חזקים יותר כדי להגן מפני התקפות סייבר חשאיות ויעילות אלה.
