האקרים איראניים תקפו בסייבר ארגוני ביטחון ותעופה במזרח התיכון

שחקני איום מאיראן נצפו כשהם מרגלים בסייבר ופורסים דלתות אחוריות, כחלק ממתקפות מתמשכות נגד ארגונים במגזרי התעופה, החלל והביטחון במזרח התיכון.

חוקרי מנדיאנט, קבוצת המחקר ומודיעין האיומים של גוגל קלאוד, הנפיקו שלשום (ג') מחקר על קבוצת UNC1549, המכונה גם Nimbus Manticore ו-Subtle Snail. הקבוצה זוהתה בראשונה בתחילת השנה שעברה. היא קשורה לקבוצת Tortoiseshell, שזוהתה בעבר עם משמרות המהפכה האיראניות.

"אסטרטגיה חכמה במיוחד" לתקיפת ארגוני ביטחון

לפי החוקרים, UNC1549 פעלה מסוף 2023 ועד לשנה הנוכחית. ההאקרים השתמשו בווקטורי גישה ראשונית מתוחכמים, כולל ניצול לרעה של קשרים עם צד שלישי כדי לקבל גישה וכניסה, ביצוע פריצות VDI מצדדים שלישיים, ופישינג ממוקד ורלוונטי לתפקיד של הקורבן.

חוקרי מנדיאנט ציינו ששרשראות ההדבקה של UNC1549 כוללות שילוב של קמפייני פישינג, שנועדו לגנוב פרטי מידע או להפיץ נוזקות ולנצל קשרים אמינים עם ספקים ושותפים צד שלישי. "הגישה השנייה של ההאקרים", הוסיפו, "מצביעה על אסטרטגיה חכמה במיוחד כאשר מתקיפים קבלני ביטחון. לארגונים אלה יש הגנות חזקות, ולכן הם תקפו שותפים מצד שלישי, המהווים חוליה חלשה יותר בשרשרת האספקה – כדי לחדור ליעדים העיקריים שלהם".

לעתים קרובות, המתקפה כללה ניצול לרעה של אישורים הקשורים לשירותים כגון אלה של סיטריקס, VMWare ו-VDA (ר"ת Azure Virtual Desktop and Application). אלה נאספו כדי לבסס אחיזה ראשונית ולקבל גישה למערכות הקורבן.

במסגרת השימוש במיילי הפישינג, ההאקרים תקפו גם עובדי IT ומנהלי מידע, כדי להשיג אישורים עם הרשאות מוגברות, כאלה שיאפשרו להם גישה עמוקה יותר לרשת הקורבן. לאחר שהתוקפים מצאו דרך להיכנס, הם סיירו לרוחב רשתות הקורבנות, אספו אישורים, התחמקו ממערכות הגנה ואז גנבו מידע, תיעוד, קניין רוחני ודוא"ל.

ההאקרים מאיראן השתמשו בכמה דלתות אחוריות, חלקן מותאמות אישית. הנוזקה הראשונה שהחוקרים הבחינו בה היא MINIBIKE, המכונה גם SlugResin. דלת אחורית זו אוספת מידע על מערכת הקורבן, עורכת "סיור" במערכות שלו, ואז גונבת מכל הבא ליד: רישום הקשות על מקלדת, תכנוני לוח כתיבה, פרטי הפנייה של אאוטלוק, נתוני דפדפנים וצילומי מסך. דלתות אחוריות נוספות שהפצחנים השתמשו בהן אלה TWOSTROKE ו-DEEPROOT, שפועלת בסביבות לינוקס.

"הקמפיין של UNC1549 מתאפיין, במיקוד שלו, בחיזוי הפעילות של חוקרי אבטחה, לצד הבטחת ההמשכיות של הפריצה לטווח ארוך", סיכמו חוקרי מנדיאנט. "ההאקרים שותלים דלתות אחוריות ומפעילים אותן בשקט למשך חודשים. הם מפעילים אותן רק לאחר שהקורבן מנסה למנוע את פעילותן".

מתקפות עבר

לפני כחודשיים, חברת הסייבר השווייצרית Prodaft קישרה את קבוצת ההאקרים האיראנית לקמפיין שפנה לחברות תקשורת אירופיות, שבמסגרתו חברי הקבוצה הצליחו לפרוץ ל-11 ארגונים, כחלק ממתקפה של הנדסה חברתית בנושא גיוס, שנעשה בלינקדאין.

בעבר נכתב על הקבוצה כי היא "תוקפת את מגזרי התעופה, החלל והביטחון במדינות במזרח התיכון, בפרט בישראל ובאיחוד האמירויות, וייתכן שגם את טורקיה, הודו ואלבניה".

"המודיעין שנאסף על גופים אלה", הסבירו החוקרים, "רלוונטי לאינטרסים האסטרטגיים של איראן, ועלול להיות מנוצל לצרכי ריגול וכן לפעולות קינטיות (פעולות התקפיות בעולם הפיזי – י"ה)". עם פרסום המחקר הראשוני על חברי הקבוצה נכתב כי הם השתמשו בתוכן שמקושר באופן ישיר למלחמה בין ישראל לחמאס, כולל התחזות לתנועת Bring Them Home Now למאבק למען השבת החטופים. בין היתר, הקבוצה השתמשה באתר מתחזה להפצת נוזקת Minibus.

בנוסף, הקבוצה הפיצה את הנוזקות שלה באמצעות הצעות עבודה מזויפות – בעיקר למשרות בארגונים מתחומי הביטחון והטכנולוגיה. עוד היא השתמשה באתר מזויף של DJI – הענקית הסינית שמתמחה בייצור רחפנים.

החוקרים כתבו בעבר על חברי UNC1549 כי הם "עשו מאמצים שלא להתגלות, בין השאר על ידי שימוש בפיתיונות המותאמים לתשתית ענן – מה שעלול להקשות על אנשי האבטחה של הארגונים שהותקפו למנוע, לזהות ולהפחית את הפעילות ההתקפית. יש לקבוצה שיטות ייחודיות, שלא ראינו בפעילות סייבר של קבוצות איראניות אחרות".