איראן תוקפת בסייבר ומשתמשת בפיתיונות עם נושאים ישראליים

קבוצת ריגול הסייבר הנתמכת על ידי איראן, חתלתול סטטי (Static Kitten) תקפה ותוקפת גופים ממשלתיים בכוויית, באיחוד האמירויות ובכלל המזרח התיכון, כך לפי מחקר איומים חדש של אנומלי (Anomali).

על פי חברת אבטחת הסייבר מבוססת המודיעין, קבוצת ריגול הסייבר שקשורה לאיראן היא כנראה גורם האיומים. זאת, על סמך השילוב של הפיתיונות עם נושאים גיאו-פוליטיים ישראליים, התייחסויות למשרד החוץ והשימוש בטכניקות וטקטיקות ספציפיות במערכה. על פי החוקרים, ההאקרים, חברי קבוצת סטטיק קיטן, מנסים להתקין במחשבי הקורבנות כלי לניהול מרחוק בשם ScreenConnect, אשר נרכש על ידי ConnectWise ב-2015. הכלי, אמרו, עובר התאמה אישית ליעד המותקף בטרם הוא נשלח אליו. כך, הנוזקה הנשלחת לקורבנות כוללת כתובות אתרים הנחזים להידמות למשרד החוץ של כוויית ולמועצה הלאומית של איחוד האמירויות.

חתלתול הסטטי ידוע גם בכינויים מרקורי (MERCURY) ו-MuddyWater. פעילותה התגלתה בראשונה ב-2017, ושנה לאחר מכן חשפו חוקרי קספרסקי כי היא הרחיבה את המתקפות שלה מעבר למזרח התיכון אל אסיה, אירופה ואפריקה. הקבוצה נצפתה בראשונה במסגרת התקפות בעיראק וערב הסעודית. לאחר מכן נחשפה פעילות נוספת, גדולה, שהייתה הממוקדת בגופים ממשלתיים בירדן, טורקיה, אזרבייג'ן, פקיסטן ואפגניסטן. זאת, בנוסף למיקוד המתמשך במטרות המקוריות. הנוזקה בה השתמשו ההאקרים הופצה באמצעות קמפיין פישינג ממוקד ומותאם אישית, הכולל מסמכי אופיס המבקשים מהמשתמשים לאפשר פקודות מקרו המובנות בהן.

חוקרי אנומלי סיכמו באומרם, כי ככל הנראה קבוצת ההאקרים פועלת בחסות ובתמיכת משמרות המהפכה של הרפובליקה האיסלאמית. "נראה כי המטרה הסופית של התוקפים היא להשתמש בכלי כדי להתחבר לנקודות קצה ברשתות הארגון היעד, מה שמאפשר להם לבצע תנועות רוחביות נוספות ולבצע פקודות שרירותיות במטרה להקל על גניבת נתונים. שימוש בתוכנות לגיטימיות למטרות זדוניות עלול להיות דרך יעילה עבור שחקני האיום. כך, חתלתול סטטי עשוי להשתמש בתכונות של ScreenConnect כדי לגנוב מידע רגיש או להוריד נוזקות לצורך פעולות תקיפה בסייבר נוספות".

"המזרח התיכון מהווה זה זמן רב נקודת התפרצות של פעילות ריגול סייבר וקינטי. ארגונים מאזור זה של העולם צריכים להיות ערניים במיוחד, כי היבטים כמו הגידול בעבודה מרחוק, התקנה של דור 5 והאימוץ של הענן מגדילים כל הזמן את משטחי התקיפה", אמר א.ג'. נאש האב, מנהל אסטרטגיית מודיעין הסייבר של אנומלי, "כדי להישאר מוגנים תוך עשיית עסקים בסביבת הסייבר של היום, ארגונים צריכים שתהיה להם גישה למודיעין, שמאפשר למנתחי האיומים לבצע חקירות יעילות, לזהות איומים ולבצע פעולות תגובה מהירות".