איראן שוב תוקפת בסייבר את ישראל

נחשף מסע תקיפה איראני חדש בסייבר נגד מטרות ישראליות, של קבוצת התקיפה Ballistic Bobcat, המזוהה עם השלטון בטהרן. הקבוצה משתמשת בדלת אחורית חדשה, בשם Sponsor. את הקמפיין חשפו היום (ב') חוקרי ESET.

קבוצת Ballistic Bobcat זוהתה על ידי החוקרים בעבר בשמות APT35/APT42 ,TA543, חתלתול מקסים (Charming Kitten) וזרחן (Phosphorus). זו קבוצת תקיפה המזוהה עם אינטרסים איראניים ופוגעת בארגוני חינוך, ממשלה ורפואה, וכן בארגוני זכויות אדם ובעיתונאים. הקבוצה מוכרת לחוקרי אבטחה ברחבי העולם מאז 2014.

עיקר הפעילות של הקבוצה הוא מול מטרות מישראל, המזרח התיכון בכלל וארצות הברית. מטרתה היא ריגול סייבר, ו-32 מתוך 34 הקורבנות שזוהו בקמפיין הנוכחי הם ישראליים. רק שניים מתוכם מגיעים ממדינות אחרות – ברזיל ואיחוד האמירויות.

בישראל, הארגונים שהותקפו היו מתעשיות הרכב, הייצור, ההנדסה, השירותים הפיננסיים, התקשורת, הרפואה, הטכנולוגיה והתקשורת.

שיטת התקיפה: סריקה ופריצה

אצל 16 מתוך 34 הקורבנות של הקמפיין שהתגלה, ונקרא Sponsoring Access, נראה כי קבוצת Ballistic Bobcat לא הייתה הגורם הזדוני היחיד שהייתה לו גישה למערכת. הממצא הזה, יחד עם המגוון הרחב של הקורבנות ומה שנראה כמו חוסר בידע על הערך המודיעיני הממשי של חלק מהם, מצביע על כך שככל הנראה, קבוצת Ballistic Bobcat פעלה באופן של סריקה ופריצה, בניגוד לקמפיין ממוקד נגד קורבנות שנבחרו מראש.

חברי Ballistic Bobcat המשיכו לחפש מטרות אפשריות נוספות, שבהן עדיין יש פרצות לא מתוקנות בשרתי Microsoft Exchange החשופים לאינטרנט.

ממערך הסייבר הלאומי נמסר כי מזהי התקיפה הופצו על ידיו וכי ארגונים שהטמיעו אותם במערכות שלהם מוגנים מפני תקיפה זו.

כיצד הדלת האחורית Sponsor פועלת?

הדלת האחורית Sponsor משתמשת בקבצי הגדרות המאוחסנים על כונן המחשב. הקבצים מופעלים באופן חשאי כקבצי Batch ונוצרו במטרה להיראות לגיטימיים, כדי להימנע מזיהוי על ידי מנועי סריקה. קבוצת Ballistic Bobcat החלה להפעיל את הדלת האחורית החדשה בספטמבר 2021, בזמן שהיא סיימה קמפיין קודם, שתועד ב-CISA Alert AA21-321A כקמפיין PowerLess.

במהלך מגפת הקורונה, הקבוצה תקפה ארגונים שקשורים לטיפול במגפה, בהם ארגון הבריאות העולמי ואנשי מחקר רפואי.

לדברי אדם בורגר, חוקר ESET שחשף את הדלת האחורית Sponsor וניתח את הקמפיין האחרון, "הקבוצה ממשיכה להשתמש במערך כלים מגוון בקוד פתוח, יחד עם כמה אפליקציות מותאמות אישית, בהן גם הדלת האחורית Sponsor, שהתגלתה באחרונה".

הוא ציין כי "מומלץ למגינים להתקין טלאי אבטחה עדכניים בכל מכשיר החשוף לאינטרנט ולהיות ערניים לאפליקציות חדשות המופיעות באופן מפתיע בארגון שלהם".

מתקפות קודמות

בעבר פורסם כי קבוצת זרחן-החתלתול המקסים, שפועלת מאיראן, תקפה את החשבונות האישיים של אנשים הקשורים לדונלד טראמפ ולקמפיין שלו לבחירות האחרונות לנשיאות ארצות הברית, שבהן הוא הפסיד לג'ו ביידן. חוקרי מיקרוסופט ציינו אז כי הקבוצה עורכת מתקפות ריגול בסייבר מזה כמה שנים. לדבריהם, "קמפייני הריגול מתמקדים במגוון רחב של ארגונים הקשורים לאינטרסים גיאו-פוליטיים, כלכליים או זכויות אדם במזרח התיכון". בין מאי ליוני 2020, ההאקרים מאיראן ניסו, בלא הצלחה, להיכנס לחשבונות של פקידי ממשל ואנשי צוות הקמפיין של טראמפ.

דונלד טראמפ, הנשיא לשעבר של ארצות הברית. צילום: BigStock

במאי השנה פורסם כי חוקרים מ-Bitdefender חשפו נוזקה חדשה שבאמצעותה הקבוצה תוקפת מטרות במדינות שונות, ובהן יריבותיה של איראן. הם מצאו שחברי הקבוצה החלו להשתמש ב-"טפטפת" שבאמצעותה הם מזריקים את הנוזקה החדשה, בעלת השם בלה צ'או (להתראות, יפה) – כשמו של השיר האיטלקי המפורסם, שבשנים האחרונות חזר כי הוא הושמע בסדרת הלהיט בית הנייר. החוקרים זיהו קורבנות ברחבי העולם שניזוקו – רבים מהם בארצות הברית ובאירופה, אבל גם במזרח התיכון ובהודו. הנוזקה הותאמה "אישית" למטרות הפרטניות שאותן היא תקפה, והציגה רמת מורכבות גבוהה, שמעידה על גישת תקשורת ייחודית עם תשתית הפיקוד והשליטה שלה.

החוקרים ציינו שמדובר באחת מקבוצות האיום המתוחכמות יותר, והם מנסים להקדים את המגינים – על ידי שימוש באותם כלים המותאמים אישית. כיוון שהנוזקה מפותחת בהתאמה אישית, בדרך כלל קשה יותר לזהות אותה, מאחר שהיא נוצרה במיוחד כדי להתחמק מזיהוי ומכילה קוד זדוני ייחודי.