איראן ריגלה בסייבר אחרי הכורדים ותומכי דאע"ש

חוקרי הסייבר של צ'ק פוינט איתרו מבצע ריגול איראני אשר התבצע באמצעות מעקב דרך אפליקציות ואתרים הממוקדים בגורמים בעלי עניין לשלטון המרכזי בטהראן, ובהם בני המיעוט הכורדי באירן ותומכי דעא"ש.

החוקרים כינו את המבצע הזה "חתלתול מקומי" בהתאם לשמות של התקפות APT איראניות אחרות. על פי החוקרים של ענקית האבטחה הישראלית, כ-240 משתמשי מכשירי טלפון ניידים (בעיקר מסוג אנדרואיד) פותו להתקין אפליקציות או להיכנס ללינקים בהם יש מאפיינים אשר עשויים לעניין אותם באופן מותאם.

כך, בהקשר לדעא"ש, מדובר באפליקציה שמורידה רקעים תומכי הארגון או תמונות מצורפות. בהקשר לכורדים, הוקם אתר מזויף המדמה את סוכנות הידיעות הכורדית ANF NEWS. החוקרים ציינו כי אתר החדשות הכורדי דומה מאד לאתר חדשות בעברית מאחוריו עומדים האירנים, כך לפי מחקר אחרון של ClearSky. עוד מדובר בגירסה מזויפת של אפליקציית העברת ההודעות, Vidogram.

רקעים תומכי הארגון. צילום: צ'ק פוינט

לאחר שהקורבנות פותו להיכנס אליהם, הם הודבקו בנוזקות המאפשרות מעקב צמוד אחר המשתמשים.

המעקב כולל אפשרות לאיתור גאוגרפי של המשתמשים, הורדת כלל אנשי הקשר וההודעות על המכשיר, היסטוריית חיפושים, הקלטות קוליות, תמונות, סרטים ועוד.

מתקפת ריגול בסייבר נרחבת וממוקדת

על פי חוקרי צ'ק פוינט, יכולות אלו, כמו גם עצם המוטיבציה לעסוק במבצע שכזה, מצויות בידי גורמי שלטון איראני רשמיים ובהם משמרות המהפיכה, משרד הפנים, ומינסטריון המודיעין האירני.

עוד ציינו החוקרים כי מדובר במתקפת ריגול בסייבר נרחבת וממוקדת המתרחשת מאז שנת 2016 ואשר עד כה נותרה תחת המכ"ם בשל יכולות ההונאה של מבצעי המתקפה.

נקודה מעניינת נוספת, על פי החוקרים, היא שאף שיעדי המתקפה כוללים כורדים, טורקים וכן תומכי דאע"ש, הרי שבפועל, כלל המטרות האלה הן למעשה אזרחים איראנים. "תוכנות הריגול הללו משמשות את המשטר לפעול נגד יחידים וקבוצות העלולים להוות איום על יציבות המשטר האיראני", נכתב.

החוקרים מציינים עוד כי לעתים מדובר בשגיאות שקל לאתרן. כך, ביישום של דאע"ש, המכוון לתומכים בארגון הטרור, "למרבה הפלא, שם התנועה הערבי אינו נכון מבחינה דקדוקית ( "دولة خلافة الاسلامیة", במקום "دولة الخلافة الاسلامیة").

"מתקפת המעקב והריגול אינה מתוחכמת"

בראיון לאנשים ומחשבים אמר לוטם פינקלשטיין, ראש צוות חוקרי סייבר בצ'ק פוינט, כי "זה זמן רב האיראנים עורכים מעקבים אחר יעדים פנים מדיניים של איראן אלא שאנו זיהינו זאת רק כעת, בראשונה בשבוע שעבר".

הוא ציין כי מבחינה טכנולוגית, מתקפת המעקב והריגול אינה מתוחכמת. מה שמורכב הוא הצורך לטפל בכאלה הררי נתונים, מספר רב של אפליקציות וכמות תוכן עצומה. אלה נותנים לנו את האינדיקציה שמדובר בישות מדינית בעלת יכולת מעצמתית: מישהו צריך לתמלל שיחת טלפון או וידשיאו, מישהו צריך לבדוק את רשימת אנשי הקשר. מישהו צריך להחליט האם להמשיך לעקוב אחר האדם הספציפי הזה".