בסייבר אין הפסקת אש: האקרים מאיראן התחזו לכנופיית כופרה כדי להסתיר ריגול

קבוצת הפריצה והריגול בסייבר מים עכורים (MuddyWater), המקושרת למשרד המודיעין והביטחון של איראן, התחזתה לקבוצת כופרות בשם הכאוס – כדי להסתיר את פעילות הריגול שלה; כך חשפו באחרונה חוקרי סייבר מקבוצת NCC.

החוקרים ציינו כי "הגבול בין מתקפות כופרה לבין קמפיינים בסייבר הנתמכים על ידי מדינות הלאום – מיטשטש: קבוצות ריגול בסייבר בחסות מדינה מאמצות כלים וטכניקות הקשורים לפושעי סייבר, כדי להסתיר את פעולות הריגול ואיסוף המודיעין שלהן".

הם כתבו כי זו לא הפעם הראשונה שבה קבוצה שנתמכת על ידי מדינה מנסה להסתיר את פעילותה ככנופיית פשע סייבר. "אלא שבמקרה הזה", ציינו, "מים עכורים השקיעה מאמצים משמעותיים להציג את פעילות הריגול שלה כאילו הייתה באמת מתקפה של קבוצת הכאוס והמניע שלה היה כלכלי".

ניתוח של מרכיבי המתקפה העלה כיצד ההאקרים שילבו הערות שמצביעות על סחיטה, הקימו ערוצי משא ומתן על מנת לדון בהם עם הקורבנות ורשמו את עצמם באתר דליפות המידע של הכאוס. "כל אלה נעשו כדי לחזק מראה משכנע יותר של חדירה ממניעים כלכליים", כתבו אנשי NCC.

שיתוף פעולה ברשת האפלה

לפי הדו"ח, "מים עכורים אינה קבוצת האיום היחידה שאימצה את טכניקת ההסתרה הזו. השנה, כמה שחקני איום שקשורים לאיראן ניצלו מודלים תפעוליים של פושעי סייבר, כלים ותשתיות מוכנות מראש, שנמצאים בשימוש או מוכנים לשימוש על ידי פושעי סייבר – לטובת ביצוע פריצות בחסות המדינה". לדבריהם, גם האקרים שנתמכים על ידי סין, רוסיה וצפון קוריאה פועלים בשיטות הללו.

הדו"ח ציין קבוצה אחרת שנתמכת על ידי איראן, ששמה לא נכתב, שפעלה במשותף עם פושעי סייבר רוסים כדי לפרוס נוזקה טרויאנית להשגת גישה מרחוק. "נוזקה זו זמינה לרכישה בדארק ווב, לטובת ביצוע פעולות ריגול בסייבר", כתבו החוקרים.

הבחנה שהופכת קשה ויותר ויותר

"היסטורית, ארגונים יכלו להבחין באופן יחסית ברור בין מתקפות כופרה שהונעו על ידי רווח כספי לבין פעולות מדינתיות שנועדו לתמוך במטרות אסטרטגיות, כגון ריגול. ההבחנה הזו הופכת לקשה יותר ויותר", אמר מאט הול, סגן נשיא למודיעין סייבר ותגובה ב-NCC. "מה שאנחנו רואים הוא התכנסות של פעילות פלילית ופעילות הנתמכת על ידי המדינה. שחקני איום משתפים תשתיות, מאמצים כלים משותפים ובמקרים מסוימים פועלים במכוון מאחורי 'מותגי' כופרה ידועים, כדי להסתיר את הייחוס שלהם ולעכב את יכולות ומאמצי התגובה".

הול הוסיף כי "השימוש בכלים וטקטיקות בסגנון פשעי סייבר יוצר גם רמת הכחשה סבירה עבור התוקפים. יש לכך השלכות על ארגונים שנופלים קורבן למתקפות: זה יוצר סביבת איום מורכבת יותר. ארגונים כבר לא יכולים להניח שמתקפת כופרה נובעת רק ממניעים כלכליים. הבנת התנהגות היריב, מטרותיו וההקשר התפעולי הופכת לחשובה לא פחות מזיהוי קבוצת הנוזקה או הכופרה שתוקפת".

לסיכום כתבו החוקרים ש-"ארגונים נדרשים לאסטרטגיות הגנה בשלות ומעודכנות, עם ניתוח התנהגותי, הקשר תפעולי, ידע על היכולות המקצועיות של גורמי האיום השונים וזהות המטרות של היריבים".