מחקר חדש חושף: קבוצת הסייבר האיראנית ממשיכה לפעול – וביתר שאת

קבוצת ריגול סייבר איראנית ייחודית, שדבר פעילותה נחשף באנשים ומחשבים, ממשיכה לפעול, באגרסיביות וביתר שאת – ואנשיה אינם מתרגשים מהפרסומים עליהם; כך עולה ממחקר חדש שחושפות ClearSky הישראלית, הכוללת את אייל סלע, ראש תחום המודיעין בחברה, וטרנד מיקרו (Trend Micro), שתוכנו הגיע לידי אנשים ומחשבים.

הדו"ח המשותף חושף את דרכי הפעולה של קבוצת התקיפה האיראנית "Rocket Kitten" ("החתלתול הרקטי"). מדובר ביחידת מתקפות סייבר איראנית, הפעילה לפחות מאמצע 2014, ויש מי שסבור שהיא החלה בפעילותה כבר ב-2011.

ביוני פורסם כי קבוצת סייבר איראנית תקפה בשנה שלפני כן מאות יעדים בישראל ובמזרח התיכון. המתקפה, שנחשפה על ידי ClearSky, החלה במחצית 2014. בין יעדיה: אלופים במילואים, עובדים בחברות לייעוץ ביטחוני, חוקרי אקדמיה ישראליים, שר אוצר של מדינה במזרח התיכון, גורם בשגרירות קטאר בבריטניה, גורמים רבים בערב הסעודית וכן עיתונאים ופעילי זכויות אדם. חלק מהמתקפות נחלו הצלחה.

מתקפת הסייבר כוללת פעילות תקיפה רב שלבית של יעדים ותשתיות מחשוב, ובמגוון ערוצים. היא מכוונת להשגת הרשאות גישה לחשבונות מייל; השגת הרשאות ופרטי הזדהות למערכות מחשב; השתלטות על מחשבים ותיבות מייל של היעדים המותקפים; גניבת המידע המאוחסן בהם; ושימוש במחשבים ובתיבות הדואר של המותקפים כבסיס לתקיפת קורבנות נוספים. לפי חוקרי ClearSky, "מדובר בקמפיין תקיפה ממוקד, עיקש ושיטתי במיוחד, המבוסס על איסוף מודיעין ומידע מקדים וממוקד על יעדי התקיפה".

כדי להשיג את מטרותיהם, משתמשים התוקפים בנוזקות הנשלחות כקבצים מצורפים למיילים; פריצה לאתרי אינטרנט "לגיטימיים ומוכרים" בהם שותלים ההאקרים דפי פישינג ממוקדים ליעדי התקיפה; הפניית הקורבן לדפי פישינג ייעודיים באתרים לגיטימיים, על מנת לעורר אמינות; ושימוש בטכניקות של הנדסה חברתית בטלפון, במייל ובפייסבוק (Facebook).

החוקרים חשפו שמות ותיבות דואר של יותר מ-550 יעדי תקיפה – מתוכם 40 יעדים ישראליים שעוסקים בחקר המזרח התיכון, איראן, יחסים בינלאומיים, חברות ביטחוניות וגורמים נוספים. יעדי תקיפה מעבר לישראל הם בעיקר ממדינות המזרח התיכון ובראשן ערב הסעודית, אולם אליהם מצטרפים גם שר אוצר של מדינה באזור, גורם בשגרירות קטאר בבריטניה, עיתונאים ברחבי העולם, פעילי זכויות אדם ועוד.

מי ומי במותקפים

בדו"ח המשותף של טרנד מיקרו ו-ClearSky, שתוכנו הגיע לאנשים ומחשבים, משורטט לוח זמנים של פעילות הקבוצה. כך, בין השאר באפריל 2014, הותקף מוסד אקדמי ישראלי, במאי אותה שנה גוף ביטחוני ממשלתי באירופה, ביוני מוסד ממשלתי אירופי, ביולי מוסד אקדמי ישראלי, ובאוגוסט 2014 – ספק שירותים ישראלי ומוסד אקדמי גרמני.

על פי הדו"ח, הקבוצה פועלת נגד מגוון רחב של מטרות במזרח התיכון כולל גורמים בישראל. פעילות הקבוצה מאופיינת בתקיפות עיקשות וממוקדות מטרה. הקבוצה נוהגת לתקוף שוב ושוב את היעדים אותם סימנה ולהשתמש במגוון טכניקות של הנדסה חברתית, כולל שיחות טלפון, משלוח הודעות SMS, הכנת אתרים יחודיים לתקיפה, שימוש בדואר פישינג ממוקד והשתלת נוזקות במחשבי המותקפים. מהמחקר עולה כי "בסבירות גבוהה, פעילות הקבוצה הינה לצורך ריגול והשגת מודיעין, כשברקע קיים מניע אידיאולוגי ופוליטי חזק".

החשיפה הראשונה של קבוצת הסייבר האיראנית הייתה בספטמבר 2014, כש-ClearSky פרסמה דו"ח על נוזקת Gholee המשויכת לקבוצת תקיפה זו. במרץ 2015 פרסמה טרנד מיקרו כתבה על מבצע "Woolen-Goldfish" שמצא קשר בין פרסום זה לפעילות קודמת של קבוצת Rocket Kitten. ביוני האחרון, כפי שפורסם באנשים ומחשבים, נחשף הדו"ח של ClearSky המכונה "מאגר תמר", על שמה של ד"ר תמר עילם-גינדין, אחת מיעדי התקיפה, שדיווחה עליה וסייעה בתחקורה. ד"ר גינדין היא בלשנית המתמחה בפרסית ובאיראן הקדומה והמודרנית, ומשמשת כעמיתת מחקר במכון לחקר איראן באוניברסיטת חיפה.

והמתקפות נמשכות

בדו"ח המשותף הנחשף היום עולה כי היו מקרי תקיפה נוספים בחודשים האחרונים, ביניהם מקרה בו ניסו חברי Rocket Kitten להתחזות – הן לחברת טרנד מיקרו והן לחוקר ב-ClearSky – בניסיון להדביק מחשב של אחד היעדים. התוקפים פתחו חשבון מייל ב-Gmail ושלחו הודעה אל יעד התקיפה, כביכול "כחלק מחקירת המקרה ורצון לסייע לו בסריקת המחשב". הם הציעו ליעד להוריד את התוכנה לסריקת המחשב והסרת וירוסים של טרנד מיקרו, אך יחד איתה הם שלחו נוזקה שבה ניסו להדביק את מחשב היעד. "למיטב הבנתנו זהו ניסיון מתועד ראשון להתחזות לחוקר בחברת אבטחה כחלק מתהליך הדבקה בנוזקה. ניסיון זה נכשל", מציינים מומחי האבטחה בשתי החברות.

על פי הדו"ח, "קבוצת התוקפים האיראנית Rocket Kitten מתעניינת בגורמים רבים במזרח התיכון. אופי התקיפות של הקבוצה הוא מודיעיני-ריגולי ולא פלילי או למטרות האקטיביזם. הקבוצה מבינה לעומק את הסביבה הגיאו-פוליטית ואת גורמי המפתח באזור ונשענת על איסוף מודיעין מקדים".

"שיתוף פעולה בינלאומי והירתמות גופי אבטחה בינלאומיים מסייעים למניעת הצלחת התוקפים בארץ ובעולם", נכתב בסיכום. "יעדי התקיפה הם חוקרים פוליטיים, חוקרי דיפלומטיה ויחסי חוץ, אנשים מהמגזר הביטחוני וממגזר אבטחת המידע, עיתונאים ופעילי זכויות אדם. הם ממשיכים להיות פעילים, מגדילים את נוכחותם, פועלים באגרסיביות רבה יותר מבעבר, הפרסומים עליהם לא הזיזו להם, הם אינם מתרגשים ובעיקר – אינם נעלמים. המתקפות שלהם ייחודיות ושונות מכל קבוצת האקרים 'רגילה' אחרת. אין מדובר בפשע מקוון פלילי, כי אם בריגול בעל מניע פוליטי". המחקר מסתיים בקביעה כי "מדובר בפושעים מקוונים לשעבר, בקבוצה בעלת משאבים, ולמרות שבחלק מהמקרים הם משתמשים בכלי פריצה ובטכנולוגיות פשוטות – אין לזלזל בחשיבותם ובנזקם".

הדים בינלאומיים

הידיעה הבלעדית שפורסמה באנשים ומחשבים על מתקפת הסייבר האיראנית על ישראל ומדינות נוספות במזרח התיכון זכתה להדים רבים בתקשורת הערבית והאיראנית. בין היתר, היא פורסמה בסוכנות הידיעות האיראנית המרכזית מהר ובעיתון המצרי אלדוסתור. הפרשה זכתה לפרסום ולדיווחים רבים בתקשורת הישראלית, ביניהם ב-וואלה! וברשת ב' של קול ישראל. הדבר הביא עד מהרה להתייחסויות ואזכורים גם בתקשורת העולמית, ובכללה, כאמור, בתקשורת הערבית והאיראנית: בסוכנות הידיעות האיראנית מהר; באתרי חדשות נוספים ברפובליקה האסלאמית, ביניהם באתר חדשות הסייבר האיראני cyberbannews.com; בעיתון המצרי אלדוסתור, בעיתון הבריטי בערבית אלערב (Alarab), באתר המצרי almesryoon.com, בסוכנות הידיעות המצרית ONA ובפורטל הערבי אלבואבה.