עוד יום, עוד איראן: מתקפת פישינג חדשה מנסה למחוק מידע בארגונים

חמינאי, הו, חמינאי: היום (ג') נחשפה מתקפת פישינג איראנית, שבאמצעות מייל מתחזה מנסה להונות אנשי מחשוב בארגונים להוריד עדכון אבטחה. אלא שבפועל, המתקפה מביאה להורדת נוזקות שגונבות ומוחקות מידע.

מערך הסייבר הלאומי הנפיק היום אזהרה בנושא, לאחר מחקר שערך בשיתוף חברה מסחרית ששמה לא פורסם. במחקר נמצא כי מאחורי ניסיון זה עומדת קבוצת תקיפה איראנית, ששמה לא נמסר. לאנשים ומחשבים נודע כי מדובר בקבוצה המתכנה חנדלה – Handala Hack Team, שלקחה אחריות על מתקפות הסייבר הללו. ההאקרים מציגים את עצמם כקבוצה האקטיביסטית, פרו-פלסטינית, שהוקמה באחרונה, אולם חוקרי אבטחה ציינו כי זהותם נותרה לא ברורה. כך או כך, הם הקימו חשבונות מדיה חברתית שונים, כולל בטלגרם ובטוויטר (X), וגם הרימו אתר – שאינו שלם. חברי חנדלה דיווחו בערוצים שלהם על המתקפות בזמן אמת, ובאותן ההזדמנויות אף לעגו למערך הסייבר הלאומי של ישראל.

האם שם הקבוצה קשור למאבק הפלסטיני או לדמות קומיקס?

משמעות השם חנדלה, או חנט'לה, היא פקועה – פרי שטעמו מר, ויש מי שסבור כי השם מהדהד למרירות של הפלסטינים במאבקם לזהות ולעצמאות מדינית. אפשרות אחרת היא הדהוד לדמות קומיקס מפורסמת של הקריקטוריסט נאג'י אל על, שהופיעה בראשונה לפני יותר מ-50 שנה. מנגד, יש חוקרי אבטחה שחושבים שלא מדובר בהאקרים איראניים, כי דמותו של חנדלה משמשת גם כסמל התנועה הירוקה באיראן. תנועה זו קמה לאחר הבחירות לנשיאות איראן ב-2009, על מנת להפיל את שלטונו של מחמוד אחמדינג'אד.

הודעת הפישינג נשוא המתקפה הנוכחית מתחזה לכזו שנשלחה מ-F5 – חברה גדולה, שמספקת מוצרי אבטחה לארגונים רבים. בהודעה נטען כי קיים עדכון אבטחה קריטי לתוכנה, שמחייב הורדת תוכנה מקישור מצורף. חוקרי המערך מצאו כי לצורך מימוש המתקפה, חברי קבוצת התקופה עשו עבודת הכנה תשתיתית, שכוללת זיהוי של הגורמים הטכניים הרלוונטיים בארגונים השונים שסומנו כיעדים לשליחת ההודעה. יעדים אלה נבחרו במטרה לנסות להביא להטמעת הנוזקה בכלל שרתי הארגונים. הקישור המתחזה מכיל שני קבצים זדוניים, שהורדתם מפעילה כלי שאוסף מידע מהמערכת וכלי "מגב", שמוחק את כלל המידע שברשת הארגונית (Wiper).

המתקפה משתמשת בכתובת דוא"ל עם סיומת שנראית במבט ראשון ככזו של F5. עוד היא מנצלת התרעה קודמת של החברה אודות הצורך להוריד ולהריץ קובץ מסוים כדי להגן על המערכת. במטרה לנסות לשכנע את הנמענים, אף צורפו להודעה המתחזה כתובות ה-IP החיצוניות של ציוד ה-F5 שבבעלות הארגון המותקף.

מערך הסייבר הלאומי קורא לארגונים לנקוט בצעדים לחסימת המתקפה מבעוד מועד, לדווח על הודעות דומות ולהימנע מלחיצה על קישורים לפני בדיקתם.