הקאמבק של "נסיך פרס": שבה לתקוף בסייבר – אחרי חמש שנים

קבוצת ההאקרים האיראנית אינפי (INFY), הידועה גם בכינויה נסיך פרס, הופיעה מחדש, ונצפתה בפעילות זדונית חדשה – לאחר שנים של שתיקה. ציידי איומים זיהו באחרונה פעילות חדשה שקשורה לאינפי – כמעט חמש שנים לאחר שההאקרים חבריה נצפו בפעם האחרונה תוקפים בסייבר. התקיפה האחרונה שלה הייתה נגד קורבנות בשבדיה, הולנד וטורקיה.

"היקף הפעילות של הקבוצה משמעותי יותר ממה שציפינו", אמר תומר בר, סגן נשיא למחקר אבטחה בסייפבריץ'. "קבוצת האיום הזו עדיין פעילה, רלוונטית ומסוכנת".

אחת מקבוצות ה-APT הוותיקות ביותר

אינפי היא אחת מקבוצות ה-APT (איום עקבי ומתמשך) הוותיקות ביותר. היא בת יותר משני עשורים – פעילותה מתוארכת לאחור עד דצמבר 2004, לפי דו"ח מהעשור הקודם של חוקרי פאלו אלטו, שבר היה אחד המשתתפים בו, כשעוד עבד בחברה.

הקבוצה הצליחה להישאר חמקמקה ולמשוך רק מעט תשומת לב, בניגוד לקבוצות פריצה איראניות אחרות, דוגמת חתלתול מקסים (Charming Kitten), מים עכורים (MuddyWater) ו-OilRig. המתקפות שהנסיכים הפרסים ביצעו ניצלו באופן בולט שני סוגי נוזקות: Foudre ו-Tonnerre. אלה קוצרות נתונים ממחשבים בעלי ערך גבוה. Foudre מופצת באמצעות מיילים של פישינג.

הקורבנות הפעם: באיראן, עיראק, טורקיה, הודו, קנדה ואירופה

לפי סייפבריץ', "חשפנו קמפיין חשאי שתקף קורבנות ברחבי איראן, עיראק, טורקיה, הודו וקנדה, וכן באירופה. ההאקרים עשו שימוש בגרסאות מעודכנות של שתי הנוזקות". החוקרים ציינו כי :ההיבט הבולט ביותר בשיטת הפעולה של שחקן האיום הוא השימוש באלגוריתם יצירת דומיין (DGA) – כדי להפוך את תשתית הפיקוד והשליטה (C2) שלו לעמידה יותר".

הניתוח של תשתית השליטה והבקרה של ההאקרים העלה גם תיקייה בשם key (מפתח), המשמשת לאימות, יחד עם תיקיות לאחסון יומני תקשורת וקבצים שהופרדו. לדברי בר, "בכל יום, הנוזקה מורידה קובץ חתימה ייעודי מוצפן במפתח פרטי RSA. או אז, ההאקרים משתמשים באימות RSA עם מפתח ציבורי מוטמע, כדי לוודא שדומיין זה הוא מאושר".

עוד כוללת הגרסה האחרונה של Tonnerre מנגנון ליצירת קשר עם קבוצת טלגרם, המכנה את עצמה "בגאווה" בפרסית, דרך שרת C2.

לקבוצה יש שני חברים: בוט הטלגרם ttestro1bot@, שמשמש להוצאת פקודות ואיסוף נתונים, ומשתמש בעל הכינוי ehsan8999100@.

לסיכום כתבו החוקרים כי "על אף שנראה כי היא נעלמה ב-2022, חברי קבוצת האיום נסיך פרס עשו בדיוק את ההיפך. המחקר שלנו משרטט קבוצת איום פורייה וחמקמקה בסייבר. ההאקטיביסטים ויחידת הסייבר הממשלתית באיראן חולקים כלים ומטרות, וגם את אותה מערכת חשבונות לתשלום. זרוע התעמולה וזרוע הריגול הן שני מוצרים של תהליך עבודה אחד: 'פרויקטים' שונים תחת אותה פעילות".