בחודשים האחרונים: איראן הגבירה מאוד את מתקפות הריגול בסייבר בישראל

בחצי השנה האחרונה ערכה איראן עשרות ניסיונות תקיפה בסייבר נגד ארגונים בישראל, למטרות ריגול. הארגונים היו מכל הגדלים – מאנטרפרייז ועד עסקים קטנים, ומכל המגזרים – כך לפי חוקרי Kaspersky GReAT, מודיעין האיומים של קספרסקי. לא נמסר כמה מניסיונות המתקפה האיראניים הצליחו. המחקר הגיע בלעדית לידי אנשים ומחשבים.

תחת הכותרת "פרויקט CAV3RN: מסגרת עבודה, פלטפורמה מודולרית למתקפות בסייבר – מיקוד בישראל" כתבו חוקרי ענקית הגנת הסייבר: "בדצמבר 2025 זיהינו כמה נוזקות והמפתחים סימנו אותן. דגימות הנוזקות העלו כי הן נמצאות בישראל. אז התחלנו בחיקור, עקבנו אחרי פעילות זו, ובסוף אפריל 2026 זיהינו העלאות נוספות של נוזקות הקשורות אליהן".

החוקרים מתארים את CAV3RN כ-"מעין פלטפורמה, מסגרת נוזקה מודולרית, שנבנתה סביב איסוף וביצוע פקודות לאחר פריצה". לדבריהם, "הדגימות המוקדמות משתמשות בעיצוב מודול מפוצל, הכולל הורדת HTTP, מודול ביצוע פקודות והעלאת HTTP. דגימות מאוחרות יותר מראות שדרוג בארכיטקטורה, הוספת מודול שליטה ובקרה לתקשורת C2, ומשלוח פקודות לקורבנות או תוספים חיצוניים". החוקרים ציינו שהמשך הפיתוח של מסגרת התקיפה מעיד על כוונת התוקפים להמשיך ולפגוע במטרות בישראל.

גרסה חדשה – ורחבה יותר

בקספרסקי אומרים כי "המפתחים התקדמו ועברו מארכיטקטורה מוקדמת, שכוללת שלושה רכיבי תקיפה – לגרסה רחבה יותר. הגרסה החדשה יותר כוללת עדכונים, שדרוגים ותוספות, והופכת את ערכת כלי הפריצה למודולרית יותר וקלה יותר להרחבה".

החוקרים קובעים שפרויקט CAV3RN תוכנן כדי לבצע ריגול בסייבר, ומבססים את הקביעה שלהם על היכולות המיושמות במודולים ובתוספים שהם בדקו. "הפונקציונליות שלו תומכת בסיור מארח, ביצוע פקודות, איסוף קבצים, גישה למסדי נתונים, רישום LDAP ו-Active Directory, אימות אישורים, גילוי רשת וחילוץ דאטה", כתבו.

חוקרי קספרסקי ציינו כי הפיתוחים נעשו בשפת NET. – מה שמעיד על כך ש-"הם פועלים בסביבת מיקרוסופט, תוך ניסיונות הסוואה, חדירה ושהות שקטים במערכות הקורבן".

מי אתם, חברי OilRig?

הטכנולוגיה ששימשה לתקיפה פותחה על ידי מבצעיה – חברי OilRig. זוהי קבוצת איום איראנית, שמפעילה מתקפות סייבר נגד קורבנות במזרח התיכון ובכלל בעולם מאז 2014. הקבוצה תקפה בעבר ארגונים רבים ממגוון מגזרים, כולל פיננסים, ממשל, אנרגיה, כימיה ותקשורת. אחת מדרכי הפעולה שלה היא מתקפות על שרשראות אספקה, תוך ניצול מערכת האמון בין ארגונים כדי לתקוף את היעדים העיקריים שלהם. הקבוצה פועלת מטעם ממשלת איראן, משתמשת בתשתיות איראניות ויעדי התקיפה שלה תואמים את האינטרסים של המדינה.

אסף חזן, סמנכ"ל הטכנולוגיות של קספרסקי ישראל, אמר כי "אנחנו עדים למבצע מתוחכם ויוצא דופן בהיקפו. מדובר בתשתית תקיפה שמתוכננת לפעול גם בעתיד – גם ברמת הארכיטקטורה וגם ברמת פעילויות השליטה על מחשבים. מדובר בעליית מדרגה בטכנולוגיות התקיפה האיראניות".