MuddyWater האיראנית לא מרפה: ביצעה עוד מתקפת סייבר על ישראל

MuddyWater (מים עכורים), אחת מקבוצות הסייבר האיראניות הפעילות ביותר, ביצעה באחרונה מתקפה נוספת, בעיקר על ארגוני תשתית בישראל, כמו גם על ארגון אחד במצרים – כך חשפה היום (ה') ענקית אבטחת המידע ESET. חברי הקבוצה ביצעו את התקיפה באמצעות כלים חדשים, שלא נחשפו בעבר.

קורבנות הקבוצה, שפועלת מטעם משרד המודיעין האיראני, במתקפה הנוכחית היו חברות טכנולוגיה, גופים הנדסיים, מפעלי ייצור, רשויות מקומיות ומוסדות אקדמיים בישראל – מה שעל פי ESET מעיד על מאמץ רוחבי לפגיעה במערכות חיוניות ובארגונים בעלי יכולות השפעה כלל מערכתית.

הכלים החדשים שבהם השתמשו אנשי MuddyWater הפעם נועדו לשפר את יכולת ההסוואה, איסוף המידע והשליטה של התוקפים במערכות שנפרצו. בין הכלים נמצאו דלת אחורית חדשה בשם MuddyViper, כמה גונבי סיסמאות מתקדמים וקובץ זדוני המקודד כך שיתחזה למשחק מחשב פשוט, במטרה לעכב את חשיפתו. "ממצאים אלה מצביעים על יכולת גוברת מצד התוקפים לפעול לאורך זמן בתוך הארגון ולבצע איסוף נתונים משמעותי מבלי לעורר חשד", אומרים ב-ESET.

כך בוצעה התקיפה

החוקרים מצאו שההאקרים חדרו למערכות של הקורבנות שלהם בעיקר באמצעות פישינג. הם שלחו לקורבנות הודעות מייל ממוקדות, שנראו תמימות לחלוטין. ההודעות כללו קבצי PDF שכללו קישור להורדת תוכנות שליטה מרחוק, לכאורה לצרכי תמיכה טכנית או עדכון תוכנה. בפועל, מדובר היה בכלים זדוניים, שהורדו מאתרי אחסון חינמיים, והקורבן התקין אותם מבלי להבין שהם מהווים חלק משרשרת תקיפה רחבה.

אחת היכולות הבולטות שנחשפו בקמפיין היא דלת אחורית, שמתוכננת להיראות כמו משחק מחשב נוסטלגי. מאחורי ההסוואה התמימה מסתתרת מערכת מתוחכמת, שמטעה את מערכות ההגנה באמצעות עיכובים מחושבים, תוך טעינת מרכיבי התקיפה ישירות לזיכרון המחשב, ללא כתיבה לדיסק. זהו מהלך שמקשה מאוד על מערכות זיהוי ואיתור, ומאפשר לתוקפים לבצע גניבה והעברה של מידע ללא השארת עקבות על המחשב.

הדלת האחורית שנחשפה אפשרה לתוקפים לאסוף פרטים על המערכת, להריץ פקודות מרחוק, להוריד ולהעלות קבצים, ולגנוב פרטי התחברות מתוך הדפדפנים של המשתמשים. מערך זה שימש את התוקפים כתחנת שליטה בתוך הארגון, ומספק להם אחיזה יציבה לאורך זמן.

MuddyWater לא לבד

מממצאי החקירה עולה שבחלק מהמקרים פעלה MuddyWater במקביל לקבוצה איראנית נוספת, ששמה לא נמסר. מדובר בתופעה שמעידה על תיאום בין כמה גורמי תקיפה והרחבת היקף הפעולה לכמה גזרות בו זמנית. ממצאים אלה מחזקים את ההערכה שמדובר בתקיפה שבוצעה על ידי מדינה, ולא בקבוצת האקרים עצמאית.

יצוין שלא מדובר בשיתוף הפעולה הראשון של MuddyWater עם קבוצת סייבר אחרת – בחודש מאי חשפה ESET כי הקבוצה ביצעה בתחילת השנה מתקפה עם Lyceum, שגם היא מזוהה עם איראן. במסגרת הקמפיין השתיים תקפו חברה ישראלית בתחום הייצור, תוך שימוש בכלי שליטה מרחוק לגיטימיים וגניבת סיסמאות באמצעות Mimikatz – כלי מתקדם לשליפת סיסמאות מהזיכרון של מערכות Windows. בעקבות החדירה, השתלטה Lyceum על המשך הפעילות הזדונית בארגון.

ככלל, MuddyWater היא קבוצה פעילה מאוד, שמתחדשת ומשתכללת בכלים חדשים בתדירות די גבוהה. רק ביולי האחרון חשפה חברת אבטחת הסייבר לוקאאוט כי הקבוצה פרסה גרסה חדשה של רוגלת DCHSpy, שמכוונת לחדירה למכשירים מבוססי אנדרואיד. אז, ההאקרים ניסו לפתות את הקורבנות להוריד את הנוזקה באמצעות התחזות לסטארלינק של אילון מאסק.

"האיראנים משקיעים בשיפור היכולות כל הזמן"

"חשיפת הקמפיין הזה ממחישה עד כמה קבוצות התקיפה האיראניות משקיעות בשיפור היכולות שלהן ובשכלול דרכי ההסוואה כל הזמן", אמר אבנר מימון, מנכ"ל קומסקיור, המפיצה הבלעדית של ESET בישראל. "השילוב בין כלים חדשים, התחזות מתוחכמת ותכנון מדויק של כל שלבי התקיפה הוא סימן אזהרה לכל ארגון שמפעיל מערכות חיוניות או מחזיק מידע רגיש. זוהי תזכורת לכך שמערכי ההגנה חייבים להיות רב שכבתיים ולכלול ניטור מתמשך, בקרה על הרשאות ומשמעת אבטחת מידע גבוהה. מדובר באיום שהוא לא רק טכנולוגי אלא גם אסטרטגי, ויש להיערך אליו ברמת ההנהלה, ולא רק ברמת ה-IT".