שוב: איראן תקפה את ישראל בסייבר

בעוד השאלה לגבי מידת המעורבות של איראן בשנים, החודשים והשבועות שלפני המלחמה – לא הוכרעה, הרי שמבחינת איראן (בסייבר) – העסקים כרגיל: קבוצת ההאקרים MuddyWater, הפועלת בחסות הרפובליקה האיסלאמית, ערכה קמפיין דיוג-חנית (spear-phishing) חדש, אשר כוון לשתי ישויות ישראליות.

לפי חוקרי דיפ אינסטינקט (Deep Instinct) הישראלית, מטרת מתקפת הסייבר נועדה לפרוס כלי ניהול מרחוק בשם Advanced Monitoring Agent מבית N-able. לדבריהם, "הקמפיין שיקף מדדי תקיפה מעודכנים לפעילות שערכה Muddy Water בעבר". הם ציינו, כי קבוצת ההאקרים השתמשה בעבר בדפוסי תקיפה דומים על מנת להפיץ כלי גישה מרחוק אחרים, כמו ScreenConnect, RemoteUtilities, Syncro, ו-SimpleHelp. "נכון הוא, שהפעם מדובר בכלי שליטה וניטור מרחוק שונה", אמרו, "אבל אופי הפעולה לא השתנה ברובו, והוא ממשיך להניב מידה מסוימת של הצלחה עבור שחקן האיום".

אנליסטים ציינו, כי המתקפה הובחנה, בנפרד, גם על ידי חברת אבטחת הסייבר Group-IB, בפוסט של החברה ב-X (לשעבר טוויטר).

קבוצת MuddyWater מוכרת לחוקרי אבטחה מאז 2017 לפחות. היא פעלה כבר בעבר נגד יעדים במזרח התיכון, וככל הנראה הצליחה לפגוע בספקית שירותי אבטחה. הקבוצה תקפה עם דלתות אחוריות מבוססות כלי קוד פתוח, בין השאר יעדים במצרים ובסעודיה. עוד תקפה הקבוצה חברה תעשייתית בישראל. בינואר 2022 סייברקום, מפקדת פיקוד הסייבר של צבא ארה"ב, פרסמה יותר מתריסר דגימות של נוזקות השייכות לקבוצת MuddyWater. ההאקרים הללו פועלים במסגרת גוף במשרד המודיעין והביטחון האיראני, MOIS, זרוע של מנגנון הביטחון, המתמקדת במעקב פנימי אחר מתנגדי המשטר ופעילים נגד המשטר בחו"ל.

במשרד המודיעין והביטחון של איראן פועלות עוד קבוצות האקרים, בהן OilRig, Lyceum, Agrius ו-Scarred Manticore.

במתקפה הנוכחית, ציינו החוקרים, נמצא דמיון למתקפות קודמות, של שליחת דוא"ל דיוג-חנית עם קישורים ישירים, או עם קבצים מצורפים של HTML, PDF ו-RTF, המכילים קישורים לארכיונים המתארחים בפלטפורמות שונות של שיתוף קבצים. בסופו של דבר, הם מצליחים להפעיל את אחד מכלי הניהול המרוחק.

עוד הועלתה האפשרות, כי "הטקטיקות והכלים העדכניים ביותר מייצגים, במובנים מסוימים – המשך, ובמובנים אחרים – התפתחות, של קבוצה ידועה אחרת בשם Mango Sandstorm ו-Static Kitten". מה ששונה הפעם, הסבירו, "הוא השימוש בשירות שיתוף קבצים חדש בשם Storyblok כדי ליזום וקטור זיהום רב-שלבי". כך, לאחר שהקורבן נדבק, חבר בקבוצת MuddyWater יתחבר אליו באמצעות כלי הניהול המרוחק – הלגיטימי – ואז יתחיל לשוטט במערכות ה-IT של החברה בה הקורבן עובד".

מסמך הפיתוי שמוצג לקורבנות הפוטנציאליים הוא תזכיר רשמי של נציבות שירות המדינה.

לדברי חוקרי דיפ אינסטינקט, "עדות נוספת ליכולות הסייבר הזדוניות והמשתפרות במהירות של איראן היא, שגם זיהינו את שחקני Muddy Water הממנפים מסגרת עבודה חדשה של פיקוד ושליטה (C2) בשם MuddyC2Go, שהיא ה'יורשת' של MuddyC3 ו-PhonyC2".

החוקרים לא ציינו מתי נערך הקמפיין, מה זהות הקורבנות והאם נגרם להם נזק.

לפי חוקרי ESET, "קבוצת התקיפה האיראנית MuddyWater, כמו קבוצות תקיפה נוספות, המשיכv לפתות קורבנות בישראל במטרה לרגל ולגנוב מידע". לדבריהם, "חברי הקבוצה הפעילו רוגלה מבוססת PowerShell כנגד יעד שזהותו אינה ידועה בישראל, ככל הנראה כ-access development team, קבוצת תוקפים האחראית על פריצה ראשונית למערכות מחשב ותשתיות עבור קבוצת תקיפה איראנית מתקדמת יותר".

באפריל השנה, ציינו, "קבוצת MuddyWater, המזוהה עם איראן, המשיכה להשתמש בתשתית שליטה ובקרה ששימשה בעבר הן אותה והן את DarkBit בהתקפות כנגד יעד בלתי מזוהה בישראל. לאחר שהצליחה לחדור, הקבוצה הפעילה תסריט שהוריד תוכנה זדונית מסוג סוס טרויאני מבוסס PowerShell משרתי השליטה והבקרה שלה. מטרת הסוס הטרויאני היא לאפשר גישה מתמשכת ו הקורבן לצורך איסוף מידע נוסף ופוטנציאל לניצול נוסף. פעילות זו עולה בקנה אחד עם מאמציה המתמשכים של MuddyWater לפגוע בארגונים בישראל".