נחשף מסע תקיפה בסייבר נגד התומכים במחאה באיראן

ברקע המתיחות בין ארצות הברית (וישראל) לאיראן, והשיחות בז'נבה בין טהרן לוושינגטון, נחשף קמפיין סייבר חדש, שמכוון לתומכי ההפגנות שאירעו בחודש שעבר ברפובליקה האסלאמית. על אף שחוקרי אקרוניס, שחשפו את הנוזקה שמשמשת במסגרת הקמפיין, לא זיהו מיהי הקבוצה שמפיצה אותה ומחוללת את מסע התקיפה – הקוד, התשתיות והשיטות של התוקפים מצביעים על קשרים לשחקן איום המזוהה עם איראן.

הנוזקה מכונה קציר הירח, או אסיף הסהר – Crescent Harvest. חוקרי אקרוניס, השווייצרית במקורה, זיהו אותה בראשונה בתחילת ינואר, כאשר ההפגנות התפשטו ברחבי איראן. הנוזקה הסתתרה בתוך קבצי תמונה ו-וידיאו של ההפגנות במדינה. אחד המשלוחים כלל ארכיון שנראה כמכיל עדכון מקו החזית של ההפגנות באיראן, לרבות כמה סרטונים ותמונות מההפגנות המתמשכות, ומסמך בשם گزارش.docx (report.docx בפרסית).

לתוקפים יש הרבה זמן

לפי החוקרים, הקמפיין מתאפיין בשיטתיות ובסבלנות ארוכה מצד התוקפים. "מפיצי הנוזקה נצפו מנסים ליצור קשרים עם אנשים מחוץ לאיראן, שתומכים בהפגנות בתוך המדינה. הם יצרו עימם קשר ואז שלחו להם את הקבצים הזדוניים", כתבו.

"הקמפיין הזה הוא המקבילה הדיגיטלית לנוכלות רחוב, לניחוש בקלפים ולעוד הונאות פשוטות אך מוצלחות", ציינו. "הקורבן מקבל, בסופו של דבר, מה שנראה כמו חבילה של חומרי מחאה – תמונות, סרטונים ודו"ח שנכתב בפרסית, שמדבר על ההתפתחויות האחרונות בערי איראן, שבהן יש ניצני מרד".

אלא שבתוך הקבצים, לפי אקרוניס, "קבורה נוזקה שאוספת סיסמאות ומאפשרת לפושעי סייבר לקבל גישה מרחוק למערכת".

נוזקה קשה להשמדה

החוקרים מצאו שהנוזקה האיראנית החדשה קשה להשמדה: "גם אם מישהו חושד במשהו ומנסה לבודד את המחשב שלו, ברגע שהוא חוזר לפעול, התוקפים מצליחים להשיב לעצמם את האחיזה בו. מסע התקיפה מנצל את אמון הקורבנות ומתבסס על תזמון אקטואלי, במיוחד בקרב אלה המבקשים להשיג מידע ומראים סימפטיה למפגינים באיראן. המפעילים של הקמפיין מנסים להדביק מחשבים של עיתונאים, פעילים חברתיים ופעילי זכויות אדם, פוליטיקאים ומתנגדי משטר".

הנוזקה מתפקדת גם כסוס טרויאני להשגת גישה מרחוק וגם כגונבת מידע. היא מסוגלת לבצע פקודות, לתעד הקשות, וכן לחלץ נתונים רגישים, היסטוריית גלישה, עוגיות ומידע על חשבונות טלגרם. בנוסף, היא יכולה לזהות תוכנת אנטי וירוס שמותקנת במחשב הקורבן – מה שמאפשר לה להתאים את התנהגותה: להפוך לאגרסיבית יותר כלפי מערכות לא מוגנות היטב, או למזער פעילות כדי להימנע מזיהוי.

לפי החוקרים, "המטרה של המסע נראית כגניבת מידע וריגול ארוך טווח. רמת המורכבות הטכנית שהופעלה בקמפיין הזה היא מאתגרת עבור קורבנות שאינם מיומנים לזהות או למנוע מתקפה. התוקפים השקיעו מאמץ רב כדי להפוך את המתקפה הזו למתחמקת ככל האפשר".

"ברקע הסערה הפוליטית המתמשכת, נראה כי הקמפיין הזה נבנה במיוחד כדי לפגוע באיראנים דוברי פרסית, המתייחסים להפגנות ולמחאה בחיוב", סיכמו החוקרים. "פעילים, עיתונאים ואחרים שמחפשים מידע אמין מתוך איראן עלולים להיות בסיכון. בהתחשב בהפסקת האינטרנט המתמשכת באיראן, סביר להניח שהקמפיין מכוון לאיראנים בחו"ל, או לתומכיהם במדינה".