הפריצה האיראנית לחברה האמריקנית – לא נוזקה או כופרה

מתקפת הסייבר שערכה איראן בימים האחרונים נגד ענקית הטכנולוגיה הרפואית האמריקנית סטרייקר גרמה להפרעות משמעותיות, אולם לא הייתה מתקפת כופרה ולא כללה החדרת נוזקות – כך מעריכים מומחי אבטחה.

הייתה זו הפעם הראשונה אי פעם שבה איראן תקפה בסייבר חברה אמריקנית. סטרייקר מסרה בהצהרה לתקשורת כי מתקפת ההאקרים גרמה לשיבוש עולמי בסביבת מיקרוסופט של החברה, אך הדגישה שהחדירה הייתה מוגבלת לסביבה זו בלבד. "האירוע גרם להפרעות בעיבוד, ייצור ומשלוח הזמנות", נמסר מסטרייקר. "עם זאת, אנחנו פועלים במרץ לשיקום המערכות שלנו. יישמנו אמצעי המשכיות עסקית כדי לתמוך בלקוחותינו ובשותפינו ככל האפשר".

לפי שעה, עדיין לא ברור האם ההאקרים כיוונו ישירות למערכות טכנולוגיה תפעולית (OT) של החברה, או שהשיבושים בייצור נובעים מפריצה והשבתת מערכת ה-IT.

קבוצת האיום הפועלת בגיבוי טהרן חנדלה לקחה אחריות על המתקפה, וטענה כי השביתה יותר מ-200 אלף מכשירים, כולל טלפונים שנמצאים ברשות סטרייקר – מה שהביא לסגירת משרדים שלה ב-79 מדינות. ההאקרים גם טענו כי גנבו 50 טרה בייט של נתונים.

"חיים מחוץ לאדמה" להשבתת המערכות מרחוק

בעוד שבתחילה דווח שההאקרים השתמשו במתקפה בנוזקות מחיקה מסוג "מגב" – הרי שראיות חדשות מצביעות על כך שהם נקטו בטכניקות של "חיים מחוץ לאדמה" (living-off-the-land), כדי להשבית את המערכות מרחוק.

לפי דיווחים מאנשים שטוענים שיש להם ידע פנימי על האירוע, התוקפים מחקו מערכות באמצעות Microsoft Intune – שירות ניהול נקודות קצה מאוחד, מבוסס ענן, שנועד לאבטח ולנהל מכשירי משתמש ויישומים בתוך הארגון. מומחה הסייבר בריאן קרבס כתב גם הוא, בהתבסס על מקורות בענקית מרדמונד, כי Intune הייתה התשתית שנוצלה לרעה על ידי חנדלה כדי לגרום לאירוע.

מומחים ציינו שסטרייקר עצמה הודיעה שאנשיה לא זיהו נוזקה או כופרה במהלך החקירה.

מיהי קבוצת חנדלה?

הנדלה היא קבוצה שמציגה את עצמה כארגון של האקטיביסטים, פרו-פלסטיני, שמונע מאידיאולוגיה אנטי-ישראלית. חוקרי אבטחת סייבר, עם זאת, רואים בה מסווה ל-Void Manticore – שחקן ממשלתי, שממומן והפועל תחת משרד המודיעין והביטחון של איראן (MOIS).

הקבוצה ידועה בעיקר בפישינג, גניבת נתונים רגישים, איומי סחיטה והשקת מתקפות הרסניות, תוך שימוש תכוף בנוזקות מותאמות אישית למחיקת קבצים ומערכות.

מאז תחילת המלחמה ערכה חנדלה מתקפות רבות על גופים בישראל – או התפארה שעשתה זאת, אף על פי שהיא לא עשתה זאת. חברי הקולקטיב משתפים בעדויות על מעשי הפריצה שלהם באופן קבוע, בטלגרם וב-X, אם כי רבות מהטענות שלהם קשות לאימות.

באשר לפריצה הנוכחית, חנדלה מסרה כי "מבצע הסייבר המרכזי שלנו בוצע בהצלחה מלאה. התאגיד השורשי הציוני סטרייקר, אחת הזרועות המרכזיות של הלובי הציוני העולמי וטבעת מרכזית בשרשרת 'אפשטיין החדש' (מושג שהאיראנים משתמשים בו בהקשר של המלחמה הישראלית-אמריקנית נגדם – י"ה), ספג מכה חסרת תקדים".