חוקרי אבטחה חשפו קשר בין שתי מתקפות סייבר גדולות

למאמר הבא
ESET

העקבות של נוזקת הכופר NotPetya ושל נוזקת Industroyer, הנוזקה הראשונה שמסוגלת להשפיע ישירות על מערכות בקרה תעשייתיות, מובילות לאותה קבוצת האקרים.

חוקרי ESET גילו עדויות המקשרות בין קבוצת פושעי הסייבר TeleBots הידועה לשמצה ובין Industroyer, הנוזקה המודרנית ההרסנית ביותר הקיימת היום, שמיועדת לפגוע במערכות בקרה תעשייתיות. נוזקה זו אחראית להפסקת החשמל הגדולה בקייב, בירת אוקראינה, בשנת 2016.

קבוצת TeleBots הוכיחה את יכולותיה באמצעות נוזקת NotPetya, נוזקה שמצפינה את תוכנו של הכונן הקשיח ללא יכולת שחזור, ושיבשה חלק גדול מהפעילות העסקית העולמית בשנת 2017. הקבוצה גם הוכיחה את הקשר שלה לנוזקת BlackEnergy, שהביאה להפסקת החשמל הראשונה באוקראינה שנגרמה בשל נוזקה (והקדימה את נוזקת Industroyer שגרמה להפסקת החשמל שהתרחשה שנה לאחר מכן).

"השערות בנוגע לקשר בין נוזקת Industroyer וקבוצת TeleBots החלו לעלות מיד לאחר ש-Industroyer פגעה ברשת החשמל של אוקראינה", אומר אנטון צ'רפנוב, חוקר של חברת ESET שהובילה את החקירה בנוגע לנוזקות Industroyer ו-NotPetya. "עם זאת, לא נמצאה אף ראיה שתומכת בהשערות האלה – עד עכשיו."

באפריל 2018, ESET זיהתה פעילות חדשה מצד קבוצת TeleBots: הקבוצה ניסתה להפיץ דלת אחורית חדשה, המזוהה ע"י ESET בשם Exaramel. הניתוח של ESET מצביע על כך שהדלת האחורית הזו היא גרסה משופרת של הדלת האחורית העיקרית שמשמשת את נוזקת Industroyer – קצה החוט הראשון המקשר בין Industroyer ובין TeleBots.

הגילוי של Exaramel מראה שקבוצת TeleBots ממשיכה להיות פעילה ב-2018, והתוקפים ממשיכים לשפר את הכלים והטקטיקות שלהם", אומר צ'רפנוב. "אנו נמשיך לנטר את הפעילות של הקבוצה הזו".

לעוד עדויות המקשרות בין Industroyer ובין TeleBots, מוזמנים לקרוא את הניתוח הטכני בבלוג של ESET.