האקרים פרו-איראנים תקפו ממשלות במזה"ת

קמפיין ריגול בסייבר, ארוך שנים, של קבוצת איום המזוהה עם איראן, נצפה תוקף גופים ממשלתיים בעיראק ובממשלה האזורית של כורדיסטן.

על פי מחקר חדש של ESET, הקבוצה, המכונה BladedFeline, פיתחה באופן משמעותי את ערכת כלי התקיפה שלה מאז שהחלה לפעול בראשונה ב-2017.

החידוש בפעולת ההאקרים, ציינו החוקרים, הוא השימוש במערך מתוחכם של כלים ונוזקות, המיועדים להתגנבות ולהתמדה בפעילות.

בין כלי התקיפה שחשפו החוקרים נמצאת דלת אחורית, שהתגלתה באחרונה, בשם Whisper, הפועלת בסביבות Microsoft Exchange של הקורבנות, כדי לשלוח פקודות ולחלץ נתונים באמצעות קבצים מצורפים לדוא"ל. "גישה סמויה זו מאפשרת לתוקפים לשמור על דפוס פעילות שקט, תוך הימנעות מגילוי על ידי שיטות זיהוי מסורתיות".

בנוסף ל-Whisper, החוקרים חשפו מודול שירותי מידע אינטרנט זדוני (IIS), המכונה PrimeCache. מדובר בדלת אחורית הפועלת בצורה חשאית, ונשארת מוסתרת בתוך הליכי הפעולה הלגיטימיים. עוד נצפו כלי תקיפה, ובהם Laret ו-Pinar, וכלי נוסף המסייע לתוקפים לאחר הפריצה.

כלל הכלים, ציינו החוקרים, "מאפשרים לחברי קבוצת הפריצה לשמור על גישה לאורך זמן רב ליעדים בעלי ערך גבוה; להתחמק מזיהוי באמצעות תקשורות מוצפנות; לבצע פקודות מרחוק באמצעות חשבונות דוא"ל לגיטימיים; להסתיר פעילות זדונית בתהליכים; לעשות בנוזקות שימוש חוזר".

החוקרים ציינו, כי לקבוצה יש דפוסים דומים לאלה של OilRig, "מה שעשוי להצביע על כך ש-BladedFeline עשויה לפעול כתת-קבוצה במסגרת גדולה יותר – יש קווי דמיון בעיצוב הטכני ובפונקציונליות של הנוזקות".

באחרונה, הקבוצה הרחיבה את פעילותה ותקפה גופים נוספים, בהם גופי ממשל בעיראק וספקית טלקומוניקציה באוזבקיסטן.

"הטקטיקות המתפתחות של שחקני איום בסייבר המקורבים לאיראן", סיכמו חוקרי ESET, "מדגישות אסטרטגיה רחבה יותר שלהם, כחלק ממבצעי ריגול ואיסוף מודיעין באזור – בלא לעורר רעש ולהיחשף. אנו מעריכים ש-BladedFeline תמשיך במהלכים שיאפשרו לה ולהרחיב את הגישה בתוך מערך הקורבנות שנפגע, ככל הנראה לטובת ריגול בסייבר", סיכמו החוקרים.