מחקר: ישראל ממשיכה להיות יעד עיקרי של קבוצות ריגול איראניות

"ישראל ממשיכה להיות יעד עיקרי של קבוצות ריגול איראניות", זו המסקנה של חוקרי חברת אבטחת המידע ESET.

בדו"ח האיומים האחרון שלה, העוסק בפעילויות של קבוצות תקיפה מתקדמות (APT) שחוקרי החברה עקבו אחריהן, הוצג ניתוח פעילותן של קבוצות התקיפה השונות בין החודשים אפריל עד ספטמבר השנה.

לפי החוקרים, "קבוצות המזוהות עם איראן ומדינות מזרח תיכוניות אחרות המשיכו לפעול בהספק גבוה, והתמקדו בעיקר בריגול וגניבת נתונים מארגונים בישראל".

כך, ציינו, "קבוצות התקיפה האיראניות OilRig ו-MuddyWater המשיכו לתקוף קורבנות בישראל במטרה לרגל ולגנוב מידע. OilRig נצפתה מפתחת ומפעילה תוכנות ריגול כמו OilForceGTX ו-Mango כדי לתקוף רשויות מקומיות בישראל. הם משתמשים במיילים לניסיונות פישינג ממוקדים, הכוללים מסמכים זדוניים עם פקודות מאקרו כקו החדירה הראשוני. ההאקרים מנסים לחדור בעיקר למחשבים של עובדי ממשל מקומי ולגנוב מידע. פעולות אלה מדאיגות, מכיוון שהן עלולות לאפשר לאיראן לרגל אחרי ישראל ולגנוב מידע רגיש".

על פועלה של MuddyWater – שפרסמנו היום (א') החוקרים ציינו, כי "בחודש אפריל 2023 איתרנו את קבוצת MuddyWater, המזוהה עם איראן, שממשיכה להשתמש בתשתית שליטה ובקרה ששימשה בעבר הן את MuddyWater והן את DarkBit בהתקפות כנגד יעד בלתי מזוהה בישראל. פעילויות שונות שלה עולות בקנה אחד עם מאמציה המתמשכים של MuddyWater לפגוע בארגונים בישראל".

עוד נכתב, כי "קבוצת האיומים מהמזרח התיכון POLONIUM ממשיכה להסתמך על תוכנות ריגול מבוססות PowerShell ו-Python  כדי לתקוף ארגונים בישראל למטרות ריגול וגניבת מידע".

פולוניום היא קבוצת האקרים מלבנון, שעובדת בחסות משרד המודיעין והביטחון האיראני, ואשר בעבר תקפה בסייבר מטרות בישראל, כולל ארגונים מהמגזרים הממשלתי, הציבורי והביטחוני, ובעיקר ארגוני תשתיות קריטיות, כך לפי מיקרוסופט. הקבוצה זוהתה כקשורה לממשל של איראן, "בהתבסס בעיקר על חפיפה בין זהות הקורבנות ודמיון של כלי וטכניקות הפריצה". החוקרים מרדמונד זיהו ומנעו פעילות של יותר מ-20 אפליקציות מבוססות שירות האחסון בענן שלה, וואן דרייב. לפי מיקרוסופט בהודעתה מהעבר, "ההאקרים פעלו בעיקר נגד ארגונים ממגזרי התשתיות הקריטיות, הייצור, ה-IT וארגונים מהמגזר הביטחוני של ישראל… חברות ייצור רבות שכוונו אליהן ניסיונות תקיפה משרתות גם את התעשייה הביטחונית של ישראל. זה משקף את טקטיקת הפעולה של חברי פולוניום, שכמו שחקני איום רבים, כולל כמה קבוצות איראניות, אלה גם אלה מתמקדים בגישה לספקי שירות, כדי להיות מסוגלים לפגוע בסייבר בלקוחות שלהם בהמשך שרשרת התקיפה".

מומחים ציינו כי הקשרים בין טהראן וההאקרים עולים בקנה אחד עם שורת חשיפות שהחלו בסוף 2020, שלפיהן ממשלת איראן משתמשת בהאקרים צד ג' כדי לבצע פעולות סייבר בחסותם. פעולות מתקפה אלה עונות על האינטרסים הגיאו-פוליטיים של הרפובליקה האסלאמית, ומסייעות לשלטון שלה להכחיש שאיראן היא זו שעומדת מאחורי המתקפות.

במקרה הנוכחי, ציינו חוקרי ESET, "ההאקרים הצליחו להחדיר סוסים טרויאניים חדשים שפיתחו, כמו CreepyPie ו-CreepySnail, לתוך רשתות מחשבים של יעדיהם. הסוסים הטרויאניים אפשרו להם לאסוף נתונים ומסמכים מכל המחשבים המודבקים ולהעביר אותם בחשאי לשרתים בשליטתם. בנוסף, חברי פולוניום ניצלו תוכנות לגיטימיות על מנת לגנוב מידע רגיש ממאגרי נתונים בארגונים שפרצו אליהם. פעולות הריגול המתוחכמות האלה מאפשרות לקבוצה לאסוף מודיעין מהארגונים הישראליים ולגרום נזק משמעותי".

"ישראל נותרת יעד עיקרי עבור קבוצות סייבר ריגול איראניות ומהמזרח התיכון המנסות לגנוב מידע ולהשיג מודיעין", סיכמו חוקרי ESET, "הם מפתחים ברציפות כלים, תוכנות ריגול והתקפות חדשים הממוקדים ביעדים בישראל".