צ'ק פוינט: האקרים מאיראן ריגלו אחרי בכירים במערכת הביטחון ומדענים ישראלים

צ'ק פוינט (Check Point) חשפה קבוצת ריגול סייבר איראנית שהתקיפה 1,600 מטרות בארץ ובעולם, בהם בכירים במערכת הביטחון ומדענים ישראליים. פעילותה של הקבוצה, שמכונה Rocket Kitten ("החתלתול הרקטי"), נחשפה בלעדית באנשים ומחשבים.

על פי ענקית אבטחת המידע הישראלית, "מאז תחילת 2014 מתרחשות תקיפות סייבר חוזרות ונשנות ממקור איראני על מטרות בעלות עניין בישראל ובעולם". ההאקרים מנסים להדביק את קורבנותיהם בנוזקות על ידי תקיפות פישינג מרובות וממוקדות (Spear phishing), שנעשות באמצעות מייל. חוקרי צ'ק פוינט מסרו כי הקבוצה עדיין פעילה וביצעה מתקפות גם בחודש שעבר.

בעקבות המחקר הפילו אתמול (א') הרשויות בבריטניה, גרמניה והולנד את התשתית ששימשה את הקבוצה למתקפות.

שחר טל, מנהל מחקר בצ'ק פוינט, אמר לאנשים ומחשבים כי "ניתן לשייך מתקפות אלה לפעילות ריגול ממוקדת שביצעו משמרות המהפכה של איראן". הוא ציין ש-"הקבוצה, המתאפיינת ביכולת טכנית מוגבלת וחובבנות יחסית לגופי מודיעין מערביים, שמה לה למטרה אנשים וארגונים רבים במזרח התיכון, וכן ברחבי אירופה בארצות הברית".

"בין היעדים שהותקפו ניתן למנות אלופים לשעבר בצה"ל, בכירים אחרים במערכת הביטחון, חוקרי איראן, חוקרי ביטחון לאומי ומדענים מאוניברסיטאות ומכוני מחקר בארץ שעוסקים בתחומים נוספים", אמר. טל ציין כי בין היעדים נמצאות גם חברות ביטחוניות ישראליות.

ככלל, צ'ק פוינט מסרה כי "בין הקורבנות מהם נגנב מידע ניתן למנות: בכירים רבים בתחום הביטחוני, מדיניות חוץ וממשל, שגרירויות ונספחים צבאיים במדינות רבות במזרח התיכון; מותקפים מהמגזר האקדמי, אוניברסיטאות ומכוני מחקר בתחומים שונים, חוקרים ומדענים שונים, בכלל זה חוקרי איראן בתחומי הביטחון הלאומי וכן מדענים ישראליים בתחום הפיזיקה והגרעין; ופעילים למען זכויות אדם, עיתונות ועיתונאים, בעלי דעה ידועים בעולם האיסלאמי".

ה-Rocket Kitten בעל תשע הנשמות (או המתקפות?). שער הדו"ח של צ'ק פוינט

התוקפים לא הסתפקו במטרות מדיניות וביטחוניות, וניצלו את המצב כדי לתקוף גם "בכירים במגזר העסקי, חברות אחזקה וגופים כלכליים – במטרה לגנוב מידע מסחרי ופיננסי".

מלבד ישראל, בצ'ק פוינט מונים בין יעדי התקיפה את ערב הסעודית, אפגניסטן, טורקיה, קטאר, איחוד האמירויות הערביות, כוויית, תימן וכוחות נאט"ו במזרח התיכון. כמו כן, נפלו קורבן לתקיפות האיראניות אנשי עסקים מוונצואלה ואיטליה, ומנחי תוכניות אירוח בטלוויזיה.

צ'ק פוינט הצליחה לחדור למאגרי מידע פנימיים של קבוצת התוקפים האיראנית, להשיג את רשימת היעדים שלהם ואף לחשוף את זהותו האמיתית של אחד התוקפים – מהנדס איראני המתמחה באבטחת מידע, שככל הנראה גויס עבור גוף המודיעין המקומי. כינויו היה Wool3n.H4T.

החברה מסרה כי החליטה לשתף את המידע עם גופי תיאום שונים, "במהלך משותף שמטרתו לנטרל את תשתיות התקיפה ולמנוע את המשך הפעילות הזדונית".

פעילות שנחשפה באנשים ומחשבים

כאמור, פעילותה של קבוצת ריגול הסייבר האיראנית הייחודית נחשפה באנשים ומחשבים ביוני השנה, ובדו"ח שפרסמו בספטמבר ClearSky וטרנד מיקרו (TrendMicro) עלה כי היא ממשיכה לפעול, באגרסיביות וביתר שאת, וכי אנשיה אינם מתרגשים מהפרסומים עליהם.

הדו"ח חשף את דרכי הפעולה של Rocket Kitten, שפעילה לפחות מאמצע 2014, ויש מי שסבור שהחלה לפעול כבר ב-2011.

הידיעה הבלעדית שפורסמה באנשים ומחשבים זכתה להדים רבים בתקשורת הערבית והאיראנית. בין היתר, היא פורסמה בסוכנות הידיעות האיראנית המרכזית מהר ובעיתון המצרי אלדוסתור. כמו כן, ציטטו אותה אתרי חדשות נוספים ברפובליקה האיסלאמית ובעולם הערבי, ביניהם אתר חדשות הסייבר האיראני cyberbannews.com, העיתון הבריטי בערבית אלערב (Alarab), האתר המצרי almesryoon.com, סוכנות הידיעות המצרית ONA והפורטל הערבי אלבואבה. בתקשורת הישראלית פורסם הסיפור ב-וואלה! וברשת ב'.