רוסיה – CyBureau

מדיניות רוסיה בנושא ה-ICT לקראת המושב ה-72 של העצרת הכללית של האו"ם

19 אוגוסט 2017/ב ICT, מדיניות, רוסיה /על ידי Tal Pavel

לקראת המושב ה-72 של העצרת הכללית של האו"ם אשר יחל ב-12 ספטמבר 2017, פורסמה ב-18 באוגוסט באתר האינטרנט (ובעמוד הפייסבוק) של שגרירות רוסיה בבריטניה, הודעה הקוראת לאו"ם לאמץ כללי התנהגות ב"מרחב המידע";

"המאמצים אשר נועדו להבטיח חברת מידע בינלאומית, בה ממלא האו"ם תפקיד מפתח, צריכים להתרכז במניעת עימותים במרחב המידע באמצעות שימוש ב-ICT ככלי להתערבות בעניינים הפנימיים כמו גם על ידי טרוריסטים לשם מטרות בלתי חוקיות. הם צריכים להתרכז גם בפיתוח ואימוץ כללים אוניברסליים להתנהגות אחראית של מדינות ביחס למרחב ה-ICT".

קבוצה בשם FIN6 אחראית לגנבת 20 מיליון כרטיסי אשראי

16 יוני 2016/ב ארה"ב, בנקאות, הונאה, רוסיה /על ידי Tal Pavel

ב–21 אפריל פורסם על מחקר של חברת FireEye בדבר קבוצת פשיעה קיברנטית בשם FIN6 אשר פרצה לעסקים רבים בתחום הקמעונאות והארוח וגנבה כ–20 מיליון כרטיסי אשראי בשווי של כ–400 מיליון דולר, אותם מכרה בפורומים יעודיים של פשיעה קיברנטית ב"רשת האפלה" כדי שישמשו למעשי הונאה.

השוני בינה ובין קבוצות אחרות של פשיעה קיברנטית היא העובדה כי זו הראשונה העושה מאמץ לוודא שנתוני הכרטיסים יגיעו לשווקי הפשיעה בצורה המהירה והיעילה ביותר, על מנת למקסם את המחיר שניתן יהיה להפיק מכרטיסים אלו. ערך הכרטיסים הגנובים בפורומים הרלבנטיים תלוי במידת "טריות" הכרטיסים והמידע שבהם, כאשר הערך הרב ביותר הוא במקרה בו המנפיק עדיין לא יודע כי הכרטיס נגנב. משעה שזוהתה הגניבה והאתר או המיקום ממנו בוצעה, שווים של הנתונים יורד באופן טבעי.

קבוצות הפשיעה הקיברנטית כיום פועלות להתקין נוזקות בעמדות PoS במטרה לגנוב מספר רב ככל האפשר של כרטיסי אשראי, אולם הן לא עושות שימוש בכרטיסים שגנבו, אלא מוכרות אותם לאחרים המבצעים בהם מעשי הונאה שונים.

בעבר נרכשו כרטיסי האשראי הגנובים לשם משיכת כספים והעברתם לחשבונות בנק שברשות הפושע, או לשם רכישת מוצרים יקרי ערך ומשלוחם פיזית. שיטות אלו הפכו לבלתי יעילות הואיל ומשיכת כספים מצריכה מעורבות פיזית ואמון, והמשלוח הפיזי הפך לקשה יותר בשל העובדה כי חברות אמריקאיות רבות חוסמות משלוחים למדינות מסויימות ובכללן רוסיה ואוקראינה.

כיום נעשה שימוש בשיטה אחרת במהלכה נרכשת הסחורה באמצעות הכרטיסים הגנובים, נשלחת לכתובת נייטרלית, על פי רוב אדם שגוייס לכך כחלק מהונאה, עם קבלת הסחורה הוא שולח אותה לפושעים אשר מוכרים אותה בשוק השחור או באתרים חוקיים. בשל מורכבות השיטה, בה קשה לעקוב, לעצור ולהחזיר משלוחים, היא הפכה לאמצעי הנפוץ להפיכת כרטיסים גנובים למזומן. חלק מקבוצות הפשע אף מציעות שרותי "משלוח חוזר" שכזה תמורת 50% מהרווח או קביעת מחיר אחיד של 50-70 דולר לחבילה.

המומחים מעריכים כי אתר אחד של משלוח מחודש של סחורה מרוויח בממוצע 7.2 מיליון דולר בשנה מתוך שוק שנתי של 1.8 מיליארד דולר.

עוד עולה מהמחקר כי החלוקה ברורה למדי; רוב גנבות הכרטיסים נעשות מקורבנות בארה"ב, שם גם מבוצעת רכישת המוצרים באמצעות הכרטיסים שנגנבו, כאשר 85% מהסחורה נשלחה למוסקבה או לסביבתה, בהתאם גם הערכת חברת המחקר כי כנופיה זו פועלת ממזרח אירופה.

האקרים תורכיים תקפו את אתר הבנק המרכזי של רוסיה

25 נובמבר 2015/ב בנקאות, השבתה, ללא קטגוריה, רוסיה, תורכיה /על ידי Tal Pavel

לפני כשעה פורסמה ידיעה לפיה האקרים תורכיים המשתייכים לקבוצה המכונה THT, תקפו את אתר האינטרנט של הבנק המרכזי של רוסיה במחאה על המתיחות הצבאית השוררת בין המדינות ביממה האחרונה.

עוד נמסר כי הארוע גרם להשבתה קצרה של אתר הבנק.

תוכנה רוסית חדשה נגד גיוס מקוון של "המדינה האסלאמית"

30 אוקטובר 2015/ב המדינה האסלאמית, רוסיה /על ידי Tal Pavel

ב-13 אוקטובר פורסם כי חוקרים, מומחי מערכות מידע ואנשי אקדמיה רוסיים עומלים על בניית פרופיל של מגייסים מטעם ה"מדינה האסלאמית" באמצעות הרשתות החברתיות, פרופיל שישולב לתוכנה בשם " Laplace's Demon" אשר תצוד מגייסים אלה ברשתות החברתיות. תוכנה זו מנטרת רשתות חברתיות לאיתור קבוצות קיצוניות מאביב השנה במטרה למנוע קריאות הפרות סדר המוניות.

התוכנה תצוד משנת 2016 חשבונות השייכים למגייסים אפשריים של "המדינה האסלאמית", המומחים ישלחו לבעל החשבון הודעה בערבית וינתחו בלשנית את התשובה. לאחר מכן יישלח למשתמש קישור אשר עם פתיחתו הוא ייתן למומחה מערכות המידע נתונים טכניים על כתובת ה-IP, מערכת ההפעלה והדפדפן. מידע אשר די בו לפי הטענה להשיג גישה מלאה על מחשב היעד.

החוקרים יחפשו אחר סימנים המעידים על גיוס, דוגמת פרושים מוטעים לפסוקי הקוראן, כמו גם ניתוח בלשני כללי אשר יבוצע על ידי מומחים.

עם זאת, מומחים אחרים טוענים כי על החוקרים להתמקד לא בבניית פרופיל של מגייס, אלא בקורבנות הפוטנציאליים, תוך נסיון להבין מדוע אדם נכון לגיוס לשורות הארגון ובכך למנוע הצטרפות שכזו.

רוסיה: מעצר חשוד בהפצת הנוזקה Spveng

23 אפריל 2015/ב בנקאות, נוזקה, פשיעה קיברנטית, רוסיה /על ידי Tal Pavel

ב-16 באפריל פורסם כי רשויות הבטחון ברוסיה עצרו צעיר בן 25 באשמת יצירת נוזקה מבוססת אנדרואיד בשם 'Spveng' שמטרתה גנבת כסף, תוך התייחסות לכך כי זו הדביקה כ-350 אלף מכשירים במהלך השנה שעברה לאחר שהתגלתה ביולי 2013 על ידי חברת קספרסקי אשר זיהתה את הנוזקה בשם SMS.AndroidOS.Svpeng.

פעילות זו גרמה דאגה רבה למשטרת רוסיה הואיל ובעטיה נגנבו כ-930 אלף דולר מאזרחי המדינה ומהבנק הגדול במדינה, עם זאת גם בארה"ב וברחבי אירופה התקבלו דיווחים על פגיעתה.

נטען כי קבוצת הפושעים החלה לגנוב כספים מהקורבנות באמצעות משלוח מיסרונים. עם הדבקת המכשיר, החלה הנוזקה לעקוב אחר משלוח כל המסרונים מהמכשיר הנגוע ואז עשתה שימוש במסרונים אלו לבנקים השונים כדי לשלוח הנחיות להעברת כספים, באמצעות מעקב של הנוזקה אחר קודי אישורי התשלום, זאת כדי לוודא שהעברת הכספים תבוצע מבלי לעורר חשד.

לשם הפצת הנוזקה נשלח למכשירי היעד קישור מזוייף של Adobe Flash Player באמצעות מסרון. משעה שנפתח הקישור הוא איפשר הורדת נוזקה וחיפוש אחר אפליקציות של בנקים אמריקאיים דוגמת של Wells Fargo, Citi Amex, Chase, Bank of America. אולם נמסר כי אין הוכחה בדבר מטרת האפליקציה משעה שבוצעה הסריקה.

Soak Soak: נוזקה חדשה תוקפת אתרי WordPress

15 דצמבר 2014/ב נוזקה, רוסיה /על ידי Tal Pavel

ב-14 דצמבר פורסם בבלוג האבטחה Sucuri כי למעלה ממאה אלף אתרים מבוססי WordPress, נפגעו מנוזקה המכונה Soak Soak.

שמה של הנוזקה הוא על שם האתר soaksoak.ru אליו פונה הנוזקה כדי להוריד ממנו נוזקה נוספת הכתובה ב-javascript. עוד ממליצה הכתבה למשתמשים לבדוק את האתר שלהם באמצעות כלי חיצוני (Sucuri SiteCheck) של חברה זו.

הואיל וכיום יש למעלה מ-70 מיליון אתרים מבוססי WordPress, הרי שנוזקה זו יכולה להוות איום לאתרים רבים אף יותר מאלו שנפגעו עד כה. עד כה נמסר כי Google סימנה כ-11 אלף אתרים כנגועים.

Oracle חוסמת התקנת Java ברוסיה

11 אוגוסט 2014/ב זכויות דיגיטליות, רוסיה /על ידי Tal Pavel

משתמשי אינטרנט ברוסיה דיווחו כי בעת נסיון להתקין Java הם מועברים ישירות לעמוד ובו נטען שההתקנה נאסרה בשל חרם.

עוד נטען כי בעמוד זה אין התייחסות ישירה לרוסיה או למדינה אחרת, אולם הוא כתוב בשפה הרוסית והוא ממוקם בתיקיה http://java.com/ru. לפי שעה לא אותרו דיווחים חדשותיים או הודעות ממשלה המציינות שהפצת התוכנה נאסרה.

עוד נמסר כי עד כה לא התקבלה תגובת חברת Oracle.

"צבא הסייבר האירופי" נגד רוסיה

30 מרץ 2014/ב הדלפה, צבא הסייבר האירופי, רוסיה /על ידי Tal Pavel

ב-22 מרץ פורסמה הודעה מטעם "צבא הסייבר האירופי" ובה הפניה לקובץ הכולל קובץ מכווץ במשקל 1.95 MB. הקובץ כולל 2,689 קבצים שונים, מרביתם קבצי Office שונים וכן מספר קבצי Adobe.

ברית סייבר אסטרטגית בין רוסיה ואיראן

12 מרץ 2014/ב מדיניות, רוסיה /על ידי ג'רמי מקובסקי

רוסיה, אשר לה יכולות קיברנטיות מפותחות, מתכננת לשתף פעולה עם איראן במרחב הקיברנטי. ברית זו בין שתי המדינות אינה מהווה הפתעה. מאז פרשת Stuxnet שנחשפה בשנת 2010, יכולות הסייבר של איראן התפתחו תוך זמן קצר והפכו מתוחכמות יותר. כעת יש לה יכולת לבצע התקפות קיברנטיות המציבות אותה כאחד מהכוחות המשמעותיים בעולם בתבחום זה. נראה כי בברית זו, שתי המדינות מעוניינות לחלוק את יכולותיהן בתחות הסייבר בין השאר נגד המטרה המשותפת – ארה"ב.

אכן שתי המדינות ביצעו התקפות קיברנטיות נגד ארצות הברית, לאחר שעלה בידן לפרוץ את מערכת האבטחה שלה (פרטים על האירוע).

נראה כי לרוסיה ולאיראן יש הרבה להרוויח משיתוף פעולה שכזה, כיום רוסיה ממשיכה את המדיניות הקיברנטית האגרסיבית שלה כלפי ארצות הברית ולסייע בתכנון פעילות הסייבר האיראנית. בינתיים, איראן ממשיכה לפתח את היכולות התקפיות וכן ההגנתיות לשם התמודדות עם ההתקפות אמריקאיות. כיום, רוב המדינות גדולות משקיעות בפיתוח תוכניות לוחמה קיברנטית. אסטרטגיה זו מדגימה את רצונן של המדינות להיות ערוכות למלחמה קיברנטית בקנה מידה גדול, כמו גם במקרה של התקפות סייבר מצד ארגוני טרור.

קספרסקי: רוסיה מובילה במספר התקפות בתחום המובייל

4 מרץ 2014/ב הנדסה חברתית, סלולר, רוסיה /על ידי Tal Pavel

ידיעה מה-2 מרץ 2014 מגלה כי על פי מחקר של חברת קספרסקי, רוסיה מובילה את מדינות העולם מבחינת התקפות בתחום המובייל המבוצעות בה, 40.34 מכלל ההתקפות. אחריה ברשימה מצויה הודו עם שיעור של 7.9% בלבד. מרביתן של התקפות אלו נועדו לשם דיוג, כמו גם גניבת פרטים בנקאיים.

לאחריהן מצויות ברשימה ויאטנם (3.96%), אוקראינה (3.84%), בריטניה (3.42%), גרמניה (3.2%), קזאחסטאן (2.88%), ארה"ב (2.13%), מלאזיה (2.12%) ואיראן (2.01%).

במהלך שנת 2013 אובחנו כמאה אלף תוכנות זדוניות חדשות בתחום המובייל בהשוואה ל-40,059 בשנה הקודמת. 98.1% מכל הנוזקות בתחום זה בשנת 2013 יועדו למכשירים מבוססי אנדרואיד. זאת בעיקר לאור החולשות בארכיטקטורת אנדרואיד והפופולאריות הגוברת שלה.

כארבעה מיליון אפליקציות זדוניות היו בשימושם של גורמי פשיעה קיברנטיים לשם יצירת נוזקות למכשירים מבוססי אנדרואיד. מטרתן של מרבית נוזקות אלה היתה כספם של המשתמשים. מספר הנוזקות המיועדות לדיוג, גניבת נתונים בנקאיים וכספים מחשבונות בנק, צמח פי 20 לטענת המחקר.

חברת קספרסקי הוסיפה כי היא בלמה 2,500 נסיונות להדבקה באמצעות סוסים טרויאניים בתחום הבנקאות. אלו מוגדרים כמסוכנים ביותר מבין הנוזקות בתחום המובייל עבור המשתמשים. בתחילת שנת 2013 זיהתה החברה 64 טרויאנים בנקאיים ידועים, אולם בסופה של השנה, עמד מספרם על 1,321.

כל זאת תוך הנחה כי אלו יגדלו במדינות הנסקרות ובאחרות במהלך שנת 2014.

ארגון טרור בקווקאז מאיים במתקפות סייבר על אתרי אינטרנט הקשורים לאולימפיאדת החורף בסוצ'י

5 פברואר 2014/ב אנונימוס, ספורט, רוסיה /על ידי אריאל קוך

בהודעה שפורסמה אתמול (שלישי, 4 בפברואר) על ידי זרוע המדיה של "ווילאיית דגסטן", קבוצה המזוהה עם ארגון הטרור "האמירות האסלאמית של הקווקאז", נכתב כי קבוצת האקרים חדשה בשם "אנונימוס קווקאז" הודיעה דרך אינטרנט רשמי על כוונתם להשבית מספר אתרים שעוסקים באולימפיאדה בסוצ'י ומסקרים את האירועים הנלווים אליה.

בדף הפייסבוק של "אנונימוס קווקאז", בו מעל 2,000 "לייקים", מפעילי העמוד כותבים כי הם "הצבא האלקטרוני של האמירות [האסלאמית] הקווקאזית".

בתאריך 31 בדצמבר הפיצו "אנונימוס קווקאז" סרטון וידאו (באנגלית, רוסית וערבית) בו נאמר כי רוסיה תשלם מחיר יקר על משחקי סוצ'י, המתרחשים בזמן שרוסיה פוגעת במוסלמים. ל"אנונימוס קווקאז" חשבון טוויטר מעודכן בו מעל 2,600 עוקבים. בחשבון מפורסמים מאות "ציוצים" בנוגע לאתרים שמותקפים וכאלו שיש להתקיף. לקבוצה גם אתר אינטרנט וחשבון ב"יוטיוב", אליו הועלו סרטונים שונים.

ההודעה שפורסמה היום הופצה בחשבון הטוויטר ועמוד הפייסבוק הרשמיים של "ווילאיית דגסטן". בהודעה נכתב כי עד כה הותקפו והושבתו חמישה אתרים :

www.sochi2014 – sberbank.ru (לא זמין)

www.sochi2014.ru (זמין)

www.olympic.ru (לא זמין)

http://sochi-2014.biz/ (לא זמין)

http://наша-олимпиада.рф/ (לא זמין)

בדיקה מהירה מעלה כי ארבעה אתרים מתוך חמישה עודם מושבתים ולא חזרו לפעילות. בהודעה נכתב כי ההתקפות באו בתגובה למאה וחמישים שנות כיבוש רוסי של הקווקאז, שמלווה בהפרות זכויותיהם של המוסלמים בקווקאז ובאזורים נוספים ברחבי רוסיה. עוד נכתב כי אתרים נוספים שקשורים לאולימפיאדה יותקפו גם הם.

פשע שנאה מקוון נגד אתרים אסלאמיים ברוסיה בחג הקורבן

17 אוקטובר 2013/ב השחתה, רוסיה /על ידי Tal Pavel

מועצת המופתים של רוסיה הודיעה ב-15 באוקטובר כי אתריה הותקפו והושחתו ביום בו נחוג ברחבי העולם המוסלמי חג הקורבן. מבין אלה ניתן למנות את אתר המועצה כמו גם זה של ראש המועצה ושל המסגד הגדול במוסקבה, כולם בלתי זמינים לפי שעה. בין השאר הוצבה בהם תמונה של ראש חזיר כרות המחזיק בפיו את ספר הקוראן לצד המסר הבא (הופיע במקור ברוסית);

"Greetings, Muslims. You're being addressed by the people of Moscow. We've f*cking had it with you. We know full well that the pig is a filthy animal for you, so here is a piggy with the Koran in its maw. Now this domain name has been defiled and you can no longer host your website here. Soon we will bury piggies near all your mosques. Happy holidays, c*cksuckers."

גורמי מערכות מידע באתר המועצה הודיעו כי עלה בידם להתחקות אחר מקור התקיפה וכי פרטיו הועברו לרשויות החוק. יתכן וכוונתם היא לכך כי פרסום ראשוני של הארוע הופיע בפרופיל של Evgeny Volnov ברשת החברתית הרוסית VKontakte.