ה-FBI: איראן מאיצה את פעילות הסייבר ההתקפי

שחקני איום בסייבר, הפועלים בחסות איראן, "הרחיבו את ספר ההפעלה שלהם", כך מתריעים אנשי ה-FBI. באזהרה דחופה שפורסמה אתמול (ב') כתבו חוקרי הבולשת, כי "האיראנים מנצלים פלטפורמות מסרים מיידיים, כגון טלגרם, כך שיהוו עבורם ערוצי פיקוד ושליטה להעברת נוזקות לקורבנות ממוקדים". לפי הבולשת, "הפעילות של ההאקרים האיראנים משקפת שינוי: הם פועלים לשילוב של הנדסה חברתית עם מנגנוני העברה חשאיים, המאפשרים לתוקפים לתקשר ישירות עם מערכות שנפגעו. זאת, תוך התחמקות משיטות גילוי מסורתיות". לפי ההתרעה, "הקמפיין מדגיש כיצד הם מנצלים יותר ויותר יישומים נפוצים כדי לעקוף בקרות אבטחה ולשמור על גישה מתמשכת בתוך מערכות הקורבן".

ההודעה פורסמה על ידי מרכז התלונות לפשיעה באינטרנט של ה-FBI. "פעולות אלו הן חלק מדפוס רחב יותר של פעילות סייבר בתמיכת איראן", נכתב, "המתמקדת באיסוף מודיעין, מעקב ושיבוש פוטנציאלי".

לפי חוקרי הבולשת, "באמצעות פלטפורמות לגיטימיות וטכניקות אספקה ממוקדת – שהם עושים בה שימוש לשינוע נוזקות – שחקני איום עלולים להרחיב את הפעולות ההתקפיות שלהם, ולעשות זאת תוך הסתרה חלקית – מה שמקשה על הקורבנות לגלות את המתקפה ולהגיב לה".

"הממצאים מעצימים את הצורך של ארגונים לחזק את המעקב אחר ערוצי תקשורת מהימנים, ליישם בקרות גישה מחמירות ולתעדף מודעות משתמשים", כתבו החוקרים באזהרה, "כשברקע התוקפים ממשיכים להפעיל טקטיקות המשתלבות בהתנהגות דיגיטלית רגילה".

"ה-FBI מעריך, כי שחקני הסייבר, הפועלים תחת משרד המודיעין האיראני, פרסו גרסאות מרובות של הנוזקה, כדי להדביק מחשבים הפועלים על מערכות הפעלה Windows. הם עשו זאת החל מסתיו 2023", נמסר באזהרה. פרופיל הקורבנות שנצפה כלל מתנגדי משטר ועיתונאים המתנגדים למשטר, חברי ארגונים בעלי אמונות הסותרות את הנרטיבים של ממשלת איראן, ואנשים נוספים שאיראן רואה בהם איום על הממשל. הם הוסיפו, כי הנוזקה עלולה לתקוף כל אדם שמעניין את השלטון באיראן. "הנוזקה שימשה כלי שהיה חלק מפעילות הסייבר שלהם. היא כללה מטען זדוני רב-שלבי, שאפשר לתוקפים להשיג גישה מרחוק למכשירים הנגועים. שחקני איום השתמשו בהנדסה חברתית כדי להתאים את השלב הראשון של הנוזקה – כדי להתחזות לתוכנות או שירותים נפוצים במחשבים מבוססי Windows". בשלב השני במתקפה, המחשב הנגוע של הקורבן חובר לבוטים של טלגרם לפיקוד ושליטה, וכך אפשר היה לקבל גישה מרחוק למשתמש ולקצור ממנו צילומי מסך או קבצים.

כך, ציינו בהודעה, "ביולי 2025 טענו חברי קבוצת הפריצה חנדלה, כי פרצו למחשבים של כמה אנשים שהביעו חששות לגבי אירועים עכשוויים באיראן, אשר דבריהם עמדו בסתירה לרטוריקה של ממשלת איראן".

הערכת חוקרי ה-FBI היא, שחלק מהמידע שחברי הקבוצה השיגו ופרסמו באינטרנט הושג באמצעות נוזקות – כחלק מקמפיין מתמשך שלהם כנגד מתנגדי משטר. הם ציינו, כי חברי חנדלה מפורסמים ביכולות הפישינג שלהם, גניבת נתונים, סחיטה ומתקפות הרס – הכוללות נוזקות מותאמות אישית מסוג "מגב" (מוחק מידע). בנוסף, ה-FBI מעריך כי הקבוצה קשורה לישות מקוונת בשם "צדק המולדת", המופעלת גם היא על ידי האקרים העובדים במשרד הביטחון האיראני.

לפי ההודעה, "זיהינו כי שחקני הסייבר של משרד המודיעין באיראן מנצלים באופן עקבי קבוצות APT (איומים מתמשכים מתקדמים) וקבוצות פרוקסי, הפועלות בהנחיית המדינה – לביצוע מתקפות בסגנון האקטיביזם, שבפועל כוללות פעולות פריצה וקצירת מידע, המשלבות דיסאינפורמציה. הקמפיינים כוללים לרוב גניבת נתונים רגישים ומניפולציה או חשיפה סלקטיבית שלהם בערוצי מדיה. זאת על מנת למקסם את הפגיעה במוניטין או להסב נזק פוליטי". הם הוסיפו ,כי השימוש של ההאקרים בטלגרם כתשתית שליטה ובקרה (C2) להפצת נוזקות נגד מתנגדי משטר הוא דוגמה למאמצים שלהם לקדם את האג'נדה הגיאו-פוליטית של איראן".

"שחקני האיום נסמכים על הנדסה חברתית כדי לספק נוזקות ולהדביק מכשירים של קורבנות", סיכמו החוקרים שכתבו את האזהרה. "שחקני הסייבר האיראנים פועלים נגד קורבנות ממוקדים ועושים זאת באמצעות אפליקציות מסרים מיידיים ופלטפורמות חברתיות. הם מתחזים לאנשים מוכרים או לספקי תמיכה טכנית וכך הם משכנעים את הקורבנות לקבל קובץ הכולל נוזקה. זו מותאמת אישית לקורבן, כדי להגדיל את הסיכויים שהוא יידבק בה".

"ה-FBI ממליץ לנקוט זהירות בעת קבלת מיילים מאנשים לא ידועים וכן הודעות שנראות חריגות או לא אופייניות, גם אם הן מגיעות מאנשי קשר ידועים. יש לעדכן את המכשירים בעדכוני מערכת ההפעלה והתוכנה העדכניים ביותר – כדי להפחית חשיפה לפגיעויות ידועות. יש להוריד תוכנה רק ממקורות אמינים, כמו חנויות אפליקציות רשמיות או אתרי ספקים מאומתים, וכן להפעיל הגנות מפני וירוס או נוזקות. יש להשתמש בסיסמאות חזקות וייחודיות בין חשבונות, עם אימות רב-שלבי. יש לדווח על כל פעילות החשודה כפשע סייבר ל-FBI".