יום שלישי, יולי 15, 2025

Nziv.net

מודיעין מהמקורות הגלויים

כתבות ראשיות 

“הדוב המלבין”: קבוצת האקרים רוסית,מסוכנת ביותר האוספת מודיעין בהתאם לצי”ח מהקרמלין. רקע!

Nziv ,

מבחינת מטרות, “הדוב המלבין (כספים ומידע)” אינו שונה מקבוצות מתקפות סייבר רוסיות אחרות, אך רמת התחכום הגבוהה והמשאבים הכספיים המשמעותיים של הקבוצה החדשה שנחשפה הופכים אותה למסוכנת עוד יותר.

במשך חודשים, “הדוב המלבין” פרץ לנתוני מודיעין רגישים ממדינות האיחוד האירופי ונאט”ו, חברות מערביות ומוסדות אחרים בתחום העניין של רוסיה.

הרשויות ההולנדיות הודיעו בשבוע שעבר כי חקירותיהן גילו כי קבוצת ההאקרים “יעילה ביותר” וסביר להניח שהיא נתמכת על ידי הקרמלין, מסקנה שאושרה על ידי מיקרוסופט, שעוקבת אחר הקבוצה תחת השם “Void Blizzard”.

בניגוד לכנופיות תוכנות כופר או להאקרים פעילים פוליטית, משימתו של “הדוב המלבין” אינה מתמקדת ברווח כספי או בגרימת כאוס, אלא באיסוף מודיעין התואם את מטרותיה של מוסקבה, במיוחד בנוגע למלחמה באוקראינה והסתעפויותיה בזירה הבינלאומית.

חבריה האמיתיים של הקבוצה נותרו לא ידועים, אך הקונצנזוס המודיעיני הוא שהם אנשי מקצוע ממושמעים בעלי משאבים משמעותיים המאפשרים להם לבצע קמפיינים נרחבים וארוכי טווח.

מומחי סייבר מערביים מאמינים שהשימוש של הקבוצה במילה “דוב” בשמה הוא עדות לכך שהם חלק מתשתית סייבר רוסית, שכן המילה “דוב” משמשת לעתים קרובות להתייחס לקבוצות האקרים רוסיות, כמו “Fancy Bear”.

Dutch intelligence agencies expose new Russian hacking group "Laundry Bear" linked to anti-NATO espionage - HackYourMom

קרדיט: קבוצות האקרים

 

ההתחלה

קבוצת ” הדוב המלבין”  – Wash Bear פעילה לפחות מאפריל 2024. גישתם מאופיינת בשילוב של תקיפה לפי דרישה וגניבת מידע רגיש ביותר.

אחת הפעולות הבולטות ביותר שלהם הייתה מתקפת הסייבר על משטרת הולנד בספטמבר 2024, אז הצליחו לגשת לנתוני הקשר המקצועיים של שוטרים.

התקיפה עוררה דאגה נרחבת בקרב מערכת הביטחון ההולנדי והובילה לחקירה נרחבת שחשפה את הקבוצה.

הקבוצה גם תקפה, באופן שיטתי, רשתות של נאט”ו וממשלות אירופה כדי לפגוע באסטרטגיות הגנה ובתקשורת דיפלומטית.

באוקטובר 2024, ארגון תעופה אוקראיני הותקף על ידי ארגון ששימש שחיפש מידע על יכולות ההגנה והלוגיסטיקה של אוקראינה.

באפריל 2025 נחשפו פיגועים שביצעה הקבוצה נגד ארגונים לא ממשלתיים באירופה ובאמריקה, וחשפו את יכולותיה המודיעיניות הנרחבות.

 

ניצול כלי מערכת

הסכנה של הנוזקה “Laundry Bear” נובעת לא ממורכבותה, אלא מיכולתה לנצל כלים בתוך המערכות שהיא מדביקה, מה שמקשה על גילויה.

הם מסתמכים על נתונים גנובים, שלעתים קרובות מתקבלים משווקי פשעי סייבר, ומנצלים שרתי דוא”ל בענן כמו Microsoft Exchange כדי לגנוב כמויות גדולות של דוא”ל ומידע.

הכלים החדישים שלהם כוללים התקפות “יריב באמצע” (AitM), יצירת דפי כניסה מזויפים שנראים כמו המקור בדומיינים עם מילים שגויות באיות כדי לפתות קורבנות לחשוף את הנתונים שלהם, וקודי QR זדוניים המוטמעים בקבצי PDF לכאורה לא מזיקים.

התקפות AitM מסתמכות על תוקף שייורט ומניפולציה של תקשורת בין שני צדדים, תוך עקיפת מכשולים כמו אימות רב-גורמי.

 

פנים חדשות, מטרות מוכרות

המודיעין ההולנדי מצביע על “דמיון משמעותי” בשיטות בין “הדוב המלבין ”  ל-“דוב המפואר”, קבוצה רוסית ידועה לשמצה המקושרת למתקפות מתוקשרות כמו הפריצה לוועד הלאומי הדמוקרטי בשנת 2016.

ביולי 2020, חשף ה-FBI כי Fancy Bear ניהלה קמפיין פריצה רחב היקף נגד מטרות אמריקאיות מאז דצמבר 2018.

עם זאת, סוכנויות המודיעין ההולנדיות טוענות כי “הדוב המלבין ” הוא איום עצמאי, אם כי קשור, המדגים את מגוון הנוף הקיברנטי הרוסי ואת הופעתן של יחידות חדשות להשגת מטרות ספציפיות.

 

ריגול וחבלה

רוסיה משתמשת באופן נרחב בקבוצות מתקפות סייבר כמו Laundry Bear ו-Luxury Bear בלוחמת מידע למטרות ריגול, חבלה והשפעה.

קבוצות אלו מבקשות לרכוש מידע מודיעיני רגיש הקשור ליכולות ההגנה, תוכניות אסטרטגיות ופגיעויות כלכליות של מדינות ממוקדות.

בנוסף לאיסוף מודיעין, האקרים רוסים מבצעים מתקפות חבלה המכוונות למערכות חיוניות, זורעים כאוס על ידי דליפת נתונים גנובים, ומניפולציות על דעת הקהל במדינות שמוסקבה מחשיבה כ”מדינות אויב”.

מדינות המערב מאשימות את הקרמלין בניסיון לערער את הדמוקרטיות שלהן באמצעות פעולות המאפשרות לו הכחשת אחריות, שנראית סבירה לכאורה.

הסכנה, לדברי מומחה הסייבר חסן חרג’וג’, טמונה בעובדה שמדינות המערב מתקשות להתמודד ביעילות עם קבוצות האקרים רוסיות, לאור ריבוי הקבוצות הללו ומגוון מטרותיהן ושיטותיהן.

קרדיט: רשת אלחורה