המתקפות האירניות בסייבר ממשיכות להתפשט בעולם – גם נגד ישראל

אירן שוב מככבת בין שלל הממצאים של חוקרי אבטחת מידע כמי שממשיכה להיות פעילה במתקפות סייבר. ארבעה גופי מחקר שונים מצאו את טביעות אצבעותיה של אירן בתחום.

צוות חוקרי יחידה 42, יחידת מודיעין הסייבר של פאלו אלטו (Palo Alto Networks) זיהו פעילות מחודשת עם הנוזקה הוותיקה OilRig, שבשנת 2016 הופעלה על ידי אירן ופגעה בחברות ממשלתיות במזרח התיכון, באירופה ובישראל. על פי החוקרים, בחודשים מאי ויוני השנה שוגרה הנוזקה – הידועה אף בכינויים PT34 ו- Helix Kitten- במשלוח פישינג של מיילים שנחזו להיראות כאילו הם באים מסוכנות ממשלתית במזרח התיכון.

לפי החוקרים, מדובר בשלושה קמפיינים, "בהתבסס על הטלמטריה שלנו, יש לנו ודאות גבוהה כי חשבון הדוא"ל ששימש לביצוע המתקפות היה שייך לקבוצת OilRig, ככל הנראה, באמצעות גניבת אישורים". יחידה 42 כבר הצליחה לקשר בעבר את הנוזקה לאירן.

במקרה זה התוקפים ניצלו ספק שירותים לא ידוע עם גוף ממשלתי נפרד. ההאקרים האירניים הצליחו להגיע לרמה גבוהה של ערפול, כך שנדמה היה כאילו הדוא"ל שהכיל את הנוזקה מגיע מאותה מדינה שם נמצאו הקורבנות. לדברי החוקרים, ההאקרים השקיעו משאבים רבים להסתיר את זהות הדואר האלקטרוני.

הנוזקה אף כללה בתוכה "דלת אחורית", שהורדה שקטה שלה בלא ידיעת הקורבן מביאה להאקרים יכולות שליטה ובקרה מרחוק על המחשב הנגוע. דלת אחורית זו זוהתה כבר בעבר כאירנית על ידי קלירסקיי (ClearSky) הישראלית וחוקרי פייראיי (FireEye) החוקרים ציינו כי יעדי המתקפה חפפו לאלה שכבר הותקפו בעבר.

קלירסקיי: אירן – אחד האיומים הבולטים על ישראל

לדברי קלירסקיי, "אחד מהאיומים הבולטים ביותר על חברות וארגונים במרחב הסייבר בישראל הוא תקיפות מאירן. המוטיבציה והיכולות של האיראנים במרחב הסייבר נמצאים בקו שיפור כשמולם ניצב מערך הגנה ישראלי שכולל כמה שכבות הגנה. השכבות הללו מצליחות לאתר ולנטרל את מרבית התקיפות".

עוד ציינו חוקרי חברת הגנת הסייבר הישראלית כי "קבוצת OilRig האיראנית – כינוי שמאחוריו מסתתרת פעילות של משמרות המהפיכה או ארגון מודיעין מקביל באירן, מתכננת ומבצעת באופן שוטף תקיפות על מגוון יעדים בישראל ובעולם. הקבוצה מתכננת, מפתחת ומפעילה שיטות וכלי תקיפה באופן עצמאי – כשהיא משלבת כלי תקיפה ידועים, חלקם מבוססי קוד פתוח, בכלים שלה".

"הקבוצה פעילה מאוד מול חברות וארגונים בישראל, כשמטרתה הראשונית היא איסוף מודיעין ערכי על ישראל. אולם, מרגע שחדרה לחברה או לארגון, תמיד קיימת אפשרות שתבחר לבצע תקיפת הרס ונזק באותה חברה", נטען בדו"ח.

לדברי קלירסקיי "הקבוצה מבצעת תקיפות סייבר תוך שימוש במייל נושא נוזקה, הדבקת גולשים בנוזקה תוך גלישה לאתר לגיטימי ותקיפה תוך שימוש בחולשות במערכות מחשב. מרבית הפעילות של הקבוצה מתבססת על שימוש בחולשות ידועות, לעיתים שימוש מהיר בחולשות שנחשפו אך טרם פותח להן טלאי, מה משמכונה 'חולשות יום 1'. אנו עוקבים אחר פעילות הקבוצה זה ארבע שנים. במהלך הרבעון הראשון של 2018 זיהינו תקיפות רבות של הקבוצה בערב הסעודיות ובמדינות המפרץ".

בועז דולב, מנכ"ל ClearSky.צילום: יח"צ

פגיעה בשורה ארוכה של גופים ממשלתיים ועסקים במזרח התיכון

בסמיכות זמנים, בסימנטק (Symantec) זיהו קמפיין ריגול חדש, של קבוצה בשם Leafminer, שגם הוא ככל הנראה, במקור מאירן. הרוגלה פגעה עד כה בשורה ארוכה של גופים ממשלתיים ועסקים ברחבי המזרח התיכון, ביניהם ישראל, אירן, ערב הסעודית, מצרים ופקיסטן.

"Leafminer היא קבוצה פעילה מאוד, אשר מתמקדת בפגיעה בארגונים ברחבי המזרח התיכון", כתבו חוקרי ענקית אבטחת המידע, "נראה כי הקבוצה, שמקורה באיראן, להוטה ללמוד ולהשתמש בכלים ובטכניקות שבהן משתמשים שחקני איומים מתקדמים יותר. ההצלחה הדלה שלהם מעידה על חוסר ניסיון מצדם".

סימנטק פרסמה כמה ראיות לאישוש הקביעה כי מקור הקבוצה באירן, ביניהן רשימה הכתובה בשפה הפרסית של 809 מטרות ושרת שהכיל 112 קבצים שקשורים למתקפות. החברה ציטטה מחקר של חברה אחרת, MagicCoder, המייחס את הרוגלה לפורום האקרים האיראני Ashiyane ולקבוצת ההאקרים האיראנית צבא השמש, (Sun (Army.

סעודיה, אויבתה המרכזית של אירן, נפגעה ביותר מ-28 מערכות שהודבקו, לבנון בשמונה מקרים ולאחריהן ישראל וכוויית. המטרות כללו, בין השאר, סוכנות מודיעין לבנונית ומתקנים רפואיים בסעודיה.

בתוך כך, הורסט סייהופר, שר הפנים של גרמניה, הצהיר כי אירן מגבירה את מתקפות הסייבר על ארצו. בדו"ח שהנפיק הממשל הגרמני נכתב כי המתקפות האיראניות נמצאות בגידול עקבי מאז שנת 2014, עם עלייה חדה בשנה שעברה. סייהופר אף דיווח על כמה מתקפות שהגיעו מסין. סיאהופר העלה את הרעיון של בניית יכולת לתגובה פרואקטיבית למתקפות עתידיות שכאלו וציין כי גרמניה עלולה לשנות את חוקיה, על מנת שהדבר יתאפשר.