איראן מרגלת בסייבר אחרי חוקרים ועיתונאים – גם בישראל

האקרים שפועלים בחסות איראן נחשפו כמתחזים לכלי חדשות ידועים ולצוותי חשיבה, במטרה לרגל בסייבר אחרי עיתונאים, חוקרים ופעילים במדינות אירופה ובמזרח התיכון, לרבות בישראל – כך לפי מחקר חדש של מנדיאנט מבית גוגל.

בקמפיין שהחל ב-2021 ועדיין נמשך, ההאקרים מקבוצת APT42 התחזו לעיתונים וושינגטון פוסט, אקונומיסט וג'רוזלם פוסט, במטרה לאסוף אישורי גישה וכניסה מהקורבנות, שלחצו על קישורים לאתרים פיקטיביים.

לפי החוקרים, המטרה העיקרית של חברי APT42 היא ריגול. "השיטות שבהן פועלים חברי הקבוצה משאירות טביעת רגל מינימלית, והן עלולות להפוך את הזיהוי ומניעת הפעילויות שלהם למאתגרים יותר עבור המגינים", הם ציינו.

שיטות הפעולה של ההאקרים

על פי חוקרי מנדיאנט, ההאקרים מנצלים לעתים קרובות טעויות נפוצות של הקלדה, או שהם רוכשים דומיינים באינטרנט שנראים אמיתיים, אך יש בשם שלהם שגיאה או שינוי קטן – כדי ליצור קישורים זדוניים, שמפנים את הקורבנות לדפי התחברות מזויפים. כך, לדוגמה, כתובת הוושינגטון פוסט המזויפת כללה בשם q מיותרת: washinqtonpost[.]press.

חוקרי מנדיאנט ניתחו את טכניקות ההנדסה החברתית שבהן השתמשו חברי APT42 כדי להשיג גישה לרשתות של הקורבנות, כולל סביבות ענן.

לא מכוני מחקר, אלא האקרים

בנוסף להתחזות לכלי תקשורת, ההאקרים הציגו את עצמם במקרים מסוימים כארגוני ומכוני מחקר אמריקניים, לרבות מכון אספן ומכון וושינגטון. לפי החוקרים, המכונים שאליהם ההאקרים התחזו לא היוו יעדים למתקפות.

באחד המקרים, בשנה שעברה חברי הקבוצה התחזו ל-"עמית בכיר" בצוות החשיבה הבריטי Royal United Services Institute (RUSI), וניסו להפיץ נוזקות לקורבן – מומחה לתחום אבטחה גרעינית בצוות חשיבה בארצות הברית שמתמקד בענייני חוץ.

ההאקרים האיראניים אף התחזו לעיתונאים ולמארגני אירועים וכנסים, כדי לבנות אמון מול היעדים שלהם. הם ביססו מולם התכתבויות מתמשכות, ואז העבירו לקורבנות הזמנות לכאורה לכנסים או מסמכים לגיטימיים, ובהם היו טמונות נוזקות.

בנוסף, בין 2022 ל-2023 צפו החוקרים בחברי APT42 קוצרים מסמכים ומידע רגיש מתשתיות הענן הציבורי של הקורבנות, כמו סביבת Microsoft 365. התקפות אלה כוונו לחברות ולעמותות שמספקות שירותים משפטיים בארצות הברית ובבריטניה.

החוקרים ציינו שפעילות חברי הקבוצה חופפת לפעולות של קבוצות ריגול ותקיפה בסייבר אחרות הקשורות לאיראן, כמו חתלתול מקסים (Charming Kitten), TA453 ו-Mint Sandstorm.

הקבוצה – מטעם ארגון המודיעין של משמרות המהפכה

בדו"ח קודם, מ-2022, שחוקרי מנדיאנט הנפיקו על הקבוצה, הם כתבו כי איראן ממשיכה במתקפות הסייבר שלה, ואולי אף מגבירה אותן. לדבריהם, אחת מקבוצות התקיפה הבולטות שפועלות תחת המשטר האיראני, APT42, "ממשיכה לתקוף בסייבר, ואוספת מידע על דמויות מפתח וארגונים במערב, כולל מארצות הברית, מבריטניה ומישראל".

החוקרים ציינו ש-"אנחנו מאמינים שקבוצה זו פועלת מטעם ארגון המודיעין של משמרות המהפכה האיראניות. הקבוצה מתמקדת, בין היתר, בתקיפה ואיסוף מידע מעמיק על גופי מחקר אקדמיים וכן על גופי מדיה ותקשורת שעוסקים בנושאים הקשורים לאיראן. בנוסף, לקבוצה יש ניסיון איסוף רחב על איראנים או יוצאי איראן במדינות המערב, בהם מתנגדי משטר, וכן דמויות מפתח במדינות המערב".

לפי החוקרים, במקרים מסוימים, התוקפים חדרו לאותן דמויות מפתח, ומשם השיגו נגישות לארגונים גדולים, שמעורבים במדיניות החוץ של מדינות המערב. פעילות חברי הקבוצה נחלקת לשלוש קטגוריות: קצירת אישורים, כדי לאסוף קודי אימות רב גורמי (MFA) ולעקוף בקרות אימות, ולהשיג גישה לרשתות, למכשירים ולחשבונות של היעדים; שימוש בשרתי פיקוד ושליטה (C2) עבור נוזקות ניידות על מכשירי טלפון ניידים מבוססי אנדרואיד. אלה נועדו לעקוב אחר מיקומים של משתמשים, לנטר תקשורת וכן "לפקח על פעילותם של אנשים המעניינים את הממשל האיראני, כולל פעילים ומתנגדי משטר באיראן"; ופריסת נוזקות ושימוש בדלתות אחוריות מותאמות אישית ובכלים משלימים.

במחקר של סקיורוורקס על הקבוצה, שיצא ב-2023, נאמר כי ההאקרים השתמשו בדמות מזויפת, שמזוהה עם המועצה האטלנטית, כדי לפגוע בחוקרי זכויות אדם. המועצה היא גוף מחקר שיושב בוושינגטון ושעומד בראשו דן שפירו, לשעבר שגריר ארצות הברית בישראל. בכיר בעולם הסייבר הישראלי העריך אז בפני אנשים ומחשבים שהיעדים האמיתיים של המתקפה היו חוקרי מדיניות ומודיעין בישראל. לפי סקיורוורקס, ההאקרים, המהווים חלק מקבוצת הפשיעה Cobalt Illusion, שידועה גם בשמות APT42 ופוספורוס (Phosphorus, שפירושו זרחן).

החוקרים ציינו כי קבוצת הפריצה פעלה כשלוחה של ארגון הביון של משמרות המהפכה האסלאמית. לפי חוקרי פרוף-פוינט, הקבוצה הוסיפה בשקט בשנתיים שלפני הוצאת הדו"ח מטרות "חריגות" לתיק היעדים שלה – פוליטיקאים אמריקניים, חוקרים בתחום הרפואה ואפילו מתווך בתים שעובד ליד מטה פיקוד המרכז של צבא ארצות הברית בטמפה, פלורידה. "שחקני האיום חתלתול מקסים תקפו מאז 2014 אקדמאים, עיתונאים, פעילים חברתיים ופעילי זכויות אדם, מכוני חשיבה, מכוני מחקר, וכן ארגוני צבא וממשל בארצות הברית, אירופה והמזרח התיכון".