This post is also available in:
English (אנגלית)
דו"ח חדש חושף כי קבוצת האקרים סינית בתמיכת המדינה בשם APT41 פיתחה שיטה חדשה לניהול ריגול סייבר על ידי ניצול Google Calendar כערוץ שליטה ובקרה סמוי. הטכניקה המתוחכמת, שנחשפה לאחרונה על ידי קבוצת מודיעין האיומים של גוגל (GTIG), אפשרה לתוקפים לשלוח פקודות ולחלץ נתונים באמצעות זימונים לא חשודים בלוח השנה.
גישה זו, שנחשפה בסוף אוקטובר 2024, סימנה את הפעם המוכרת הראשונה בה גורם סייבר בחסות מדינה שם קוד זדוני שעובד בתוך תשתית לוח השנה של Google, תוך שימוש בתיאורים מוצפנים באירועים מזומנים כדי לתקשר עם מערכות שנפרצו.
ההתקפה מתחילה בהודעות פישינג בדואר אלקטרוני, המכילות קישורים לקובץ ZIP זדוני המתארח באתר ממשלתי שנפרץ. הארכיון כלל קובץ קיצור דרך מוסווה כ-PDF, וקובצי תמונות מרובים, שחלקם שימשו כפיתיונות בעוד שאחרים הכילו קוד זדוני.
לאחר הפעלתו, מודול הקוד הזדוני בשם TOUGHPROGRESS יצר קשר עם התוקף באמצעות רשומות לוח שנה. המערכת כתבה נתונים מוצפנים לתוך זימוני לוח שנה באורך אפס דקות, המתוארכים ל-30 במאי 2023, והחלה לבחון לוח השנה לקבלת הוראות נוספות. כל נתוני האירוע שאוחזרו פוענחו והופעלו במחשב הנגוע, כל זאת בזמן שהופיעו כתעבורת לוח שנה חוקית.
שיטה זו אפשרה לתוקפים להשתלב בצורה חלקה בתעבורה הסטנדרטית של ארגונים, תוך עקיפת מערכות זיהוי איומים מסורתיות. GTIG הגיבה על ידי פירוק התשתית של APT41, הסרת לוחות שנה שנשלטו על ידי תוקפים והפסקת פרויקטים מקושרים בסביבת עבודה. כללי הזיהוי עודכנו והארגונים המושפעים קיבלו הודעה על כך.
APT41 ידועה בפעילותה למול מגוון רחב של תעשיות, כולל ממשלה, טכנולוגיה, לוגיסטיקה ותקשורת. הקבוצה ניצלה בעבר שירותי Google אחרים עבור פעולות סייבר. בשנת 2023, היא השתמשה ב-Google Sheets ו-Drive לצורך בקרת תוכנות זדוניות ומינפה את Google AMP כדי לנתב את המשתמשים לקבצים זדוניים המוגנים באמצעות סיסמה.
GTIG מזהירה כי קמפיין זה משקף מגמה רחבה יותר של שחקנים בחסות המדינה המשתמשים בשירותי ענן לגיטימיים כדי להסוות את פעילותם. כאשר פלטפורמות חופשיות ומהימנות משמשות יותר ויותר כחלק משרשראות הפצה מתקדמות של תוכנות זדוניות, גורמי הגנה מתבקשים לפקח על התנהגות לא טיפוסית בכלים מוכרים כמו לוחות שנה, מסמכים ופלטפורמות שיתופיות.
