ככה תקפו האקרים תשתיות של חברות תקשורת

חוקרי חברת הסייבר סנטינל וואן חשפו קמפיין מדינתי כנגד תשתיות ענן ובמיוחד נגד ספקיות תקשורת במדינות אסיה והמזרח התיכון. הקמפיין, שמכונה WIP26 (שם שמציין Work in Progress, כלומר שעדיין לא קיימים נתונים מספקים לזהות באופן מספק את הקמפיין) כוון כנגד תשתיות ענן ציבוריות- Microsoft Azure, Microsoft 365 Mail ו- Dropbox.

התוקפים ניהלו קמפיין איכותי ומדוייק. הם זיהו אנשי מפתח בארגון הנתקף, שלחו להם מסמך שנראה תמים על ידי הודעת ווטסאפ, שהכיל קישור לקובץ PDF ממולכד ונשמר ב Dropbox. הקובץ הכיל רושעה שהורידה למחשבי הקורבנות קובץ .net בשם Update.exe שיצר קשר עם תשתית Google Firebase וMicrosoft 365 כשרתי C2 ( שליטה ובקרה). השימוש בתשתית ענן ציבורית נועד להסוות את התעבורה בין מחשבי הקורבן לשרתי השליטה כך שתראה כתעבורה לגיטימית וכך יקשה על המגינים לגלות ולעצור אותה. הפקודות שנשלחו משרתי השליטה אפשרו לרושעה לבצע פעולות סריקה ואיסוף נתונים במחשב הקורבן, ודרך פקודת Powershell להוציא מידע רגיש אל שרת Microsoft Azure אחר.

השימוש בתשתיות ענן מסחריות אינו חדש ובוצע בעבר על ידי קבוצת תקיפה צפון קוריאניות, סיניות ורוסיות, ולכן לא ניתן לקבוע עדיין את זהות התוקפים. מאופן ביצוע התקיפה (שכלל איסוף מידע מקדים על העובדים שטורגטו ומאמץ ניכר למנוע גילוי) אפשר לשער שמטרת התקיפה הייתה להשיג אחיזה חשאית אצל אותו ספק טלקו ודרכו כנראה לאסוף מודיעין או לחדור למטרות אחרות.