הממלכה הפרסית תוקפת בסייבר, שוב

קבוצת האקרים איראנית תקפה מטרות בארה"ב ובמזרח התיכון, כך על פי חוקרי טרנד מיקרו.

על פי חוקרים, חברי הקבוצה, 33APT שמה, השתמשו בבוטנט – מערך של מחשבים רבים שהפכו ל"זומבים", כלומר שנעשה ניצול של כוח המחשוב שלהם בלא ידיעת הקורבנות – תקפו כמה מטרות, ביניהן חברה אמריקנית הפועלת בתחום הביטחון הלאומי, וכן אוניברסיטה אמריקנית.

על פי ענקית אבטחת המידע, הקבוצה האיראנית משתמשת בבוטנטים, "השולחים נוזקות מכוונות וקיצוניות כנגד ארגונים במזרח התיכון, בארה"ב ובאסיה. לעיתים קרובות בוטנטים מורכבים ממספר גדול של מכונות – אבל במקרה הזה, ההאקרים האיראניים משתמשים רק בכתריסר מחשבים לכל בוטנט, כדי לשלוח את הנוזקה שלהם ולהשיג באופן עקבי גישה לרשתות של הארגונים המותקפים".

טרנד מיקרו

ההאקרים האיראניים בנו גם רשת וירטואלית פרטית משלהם, עם "צמתי יציאה" שמשתנים לעיתים תכופות. חוקרי טרנד מיקרו אמרו שהם עקבו אחרי צמתי ה-VPN הללו במשך שנה שלמה, אבל, כפי הנראה הקבוצה השתמשה בהם במשך זמן רב יותר. חברי קבוצת ההאקרים משתמשים בחלק מכתובות ה-IP הללו כדי  לבצע "סיורים" ברשת של חברה לחקר נפט ושל בתי חולים צבאיים במזרח התיכון, וכן של חברת נפט שממוקמת בארה"ב עצמה.

33APT היא אחת מקבוצות ההאקרים הממומנות ביותר, אשר פועלת לטובת האינטרסים של איראן וממומנת על ידי המשטר האיראני. הקבוצה זוהתה בראשונה כשלוחת איראן על ידי פייראיי. הקבוצה זכתה לכמה כינויים: Elfin, חתלתול מעודן (על ידי Crowdstrike), מגנליום (על ידי דרגוס) והולמיום (על ידי מיקרוסופט). חברי הקבוצה סימנו להם מטרות בערב הסעודית, לצד כמה חברות אמריקניות הנמנות על רשימת פורצ'ן 500 – כך לפי דיווח של סימנטק ממרץ השנה. הממצאים האחרונים בנוגע לקבוצה מאירים באור חדש את התשתית שלה וכיצד היא משתמשת בה.

"עניין באתרים שמתמחים בגיוס של עובדים בתעשיית הנפט והגז"

ההאקרים האיראניים, מסרו חוקרי טרנד מיקרו, משתמשים ברשת ה-VPN שלהם כדי לקבל גישה למקומות בהם נערכים ניסיונות פריצה – לארגונים ולאתרים הקשורים למטבעות קריפטוגרפיים. "לקבוצה יש גם עניין באתרים שמתמחים בגיוס של עובדים בתעשיית הנפט והגז", אמרו החוקרים.

הקבוצה הייתה מוכנה גם להשתלט על תשתיות בפרופיל גבוה של הקורבנות למשך תקופות זמן ארוכות. "לפחות במשך שנתיים, ההאקרים הללו השתמשו באתר של פוליטיקאי אירופאי בולט, כדי לשלוח פיתיונות לארגונים בשרשרת האספקה של תעשיית הנפט", כך לפי טרנד מיקרו. בין המטרות של ניסיונות התקיפה במייל, היה גם מתקן מים שבו השתמש צבא ארה"ב. לפחות חלק מהפניות שחברי הקבוצה שלחו מהאתר של אותו פוליטיקאי אירופאי – היו יעילות, הוסיפו החוקרים. בשנה שעברה, שרת של חברת נפט שבסיסה בבריטניה, תקשר עם אחד השרתים של קבוצת ההאקרים, "מה שהצביע על הידבקות".

חברי הקבוצה רשמו דומיינים המתחזים לגורמים מסחריים רבים, ביניהם בואינג וחברת התעופה הסעודית אלסאלם. בבלוג של טרנד מיקרו כתבו החוקרים כי "קבוצת האיום המכונה באופן קבוע APT33 ידועה כמכוונת לאגרסיביות לתעשיות הנפט והתעופה.

דיווחים על קבוצת איום זו מתקבלים בעקביות במשך שנים, אך הממצאים האחרונים שלנו מראים כי הקבוצה משתמשת בכתריסר שרתי פיקוד ובקרה (C&C) לצורך מיקוד צר במיוחד. הקבוצה בונה מספר שכבות של הסתרה וערפול כדי להפעיל את שרתי הפיקוד והבקרה הללו, במסגרת קמפיינים של תקיפה זדוניים מאוד נגד ארגונים במזרח התיכון, ארה"ב ואסיה. אנו מאמינים כי רשתות בוט אלו, שכל אחת מהם מורכבת מקבוצה קטנה של עד תריסר מחשבים נגועים, משמשות למתקפות עקביות כנגד יעדים נבחרים. הנוזקה היא בסיסית למדי, ויש לה יכולות מוגבלות, הכוללות הורדה והפעלה של נוזקות נוספות. בין המתקפות שנערכו השנה, היו כאלו כנגד שני מקומות נפרדים של חברה אמריקנית פרטית המציעה שירותים הקשורים לביטחון לאומי, יעדים הקשורים לאוניברסיטה ולמכללה בארה"ב, יעד הקשור ככל הנראה לצבא ארה"ב, וכמה קורבנות במזרח אסיה באסיה התיכונה".

עוד הם כתבו כי "במשך לפחות שנתיים הקבוצה השתמשה באתר הפרטי של פוליטיקאי אירופי בכיר, חבר בוועדת ההגנה של מדינתו, כדי לשלוח דוא"ל פישינג ממוקד לחברות שהן חלק משרשרת האספקה של מוצרי נפט. המטרות כללו מתקן מים המשמש את צבא ארה"ב לאספקת מים לשתייה של אחד מבסיסיו הצבאיים. המתקפות האלו גרמו ככל הנראה להידבקות של ארגונים בתעשיית הנפט".