איראן פצחה בסדרת מתקפות רחבה על ארגונים באירופה

שחקן איום בסייבר איראני, שפועל תחת משמרות המהפכה, החל באחרונה להתמקד בביצוע מתקפות באופן מוגבר על ארגונים במערב אירופה, ובמיוחד בדנמרק, שבדיה ופורטוגל. זאת, לאחר שבזמן מלחמת עם כלביא הוא תקף יעדים ישראליים.

לפי חוקרי צ'ק פוינט, שעוקבים אחרי קבוצת האיום, ההאקרים מתחזים לארגוני תעופה וחלל, תעשייה וייצור ביטחוני וכן לארגוני טלקום מקומיים וגלובליים, ביניהם בואינג, איירבוס ופליי דובאי.

הקבוצה מכונה Nimbus Manticore, ולפי החוקרים פעילותה חופפת לזו של הקבוצות UNC1549, סופת חול מעושנת (Smoke Sandstorm) וג'וב החלומות האיראני (Iranian Dream Job). החוקרים ציינו כי סדרת המתקפות הנוכחית מכוונת לתעשיות הביטחונית, הטלקום והתעופה – "מה שתואם את סדרי העדיפויות האסטרטגיים של משמרות המהפכה".

"שחקן האיום משתמש בספייר פישינג (מתקפת דיוג חנית – י"ה) מותאם, ואז תוקף עם מסמכים של 'מחקרים' של משאבי אנוש, לכאורה, שמכוונים את הקורבנות לפורטלי קריירה מזויפים. כל יעד מקבל כתובת URL ואישורים ייחודיים, המאפשרים מעקב וגישה מבוקרת של כל קורבן", ציינו החוקרים. לדבריהם, "גישה זו מדגימה יכולת תפעול התקפית חזקה, מגובה בתירוצים שנראים אמינים". הם הוסיפו כי "התוקפים משתמשים בממשקי API ברמה נמוכה, שלא תועדו בעבר, כדי ליצור שרשרת טעינה של נוזקות, ולעשות זאת באופן רב שלבי. ערכת הכלים של Nimbus Manticore כוללת דלת אחורית וגונב מידע. הכלים מתפתחים ללא הרף כדי להישאר סמויים, ממנפים חתימות דיגיטליות תקפות, ומונעים יכולת זיהוי וניתוח".

"שחקן איום בסייבר בוגר"

לדברי החוקרים, "הקמפיין משקף שחקן איום בסייבר בוגר, בעל משאבים טובים, אשר מקדם בעדיפות יכולת התגנבות, גמישות ואבטחה תפעולית".

בשולי המחקר הם ציינו כי "לקוחה ארגונית של צ'ק פוינט – ספקית תקשורת בישראל – זיהתה וחסמה מתקפת פישינג נגדה".

לסיכום כתבו אנשי צ'ק פוינט כי "בעוד ש-Nimbus Manticore מכוונת באופן עקבי למזרח התיכון, במיוחד לישראל ולאיחוד האמירויות, המבצעים האחרונים מראים עניין גובר שלה במערב אירופה. ישראל הייתה המוקד העיקרי למתקפות של קבוצת האיום במהלך העימות בן 12 הימים בין ישראל לאיראן. זהו שחקן איום שפועל באופן חמקמק, ובשנה האחרונה אימץ מערך חדש של טכניקות שאפשרו לו להישאר מתחת לרדאר, ולהמשיך לפעול גם במהלך העימות הישראלי-איראני".