הכירו את קבוצות ההאקרים היותר "מוצלחות" של איראן

"אנו עוקבים אחר קבוצת ההאקרים האיראנית TEMP.ZAGROS, או Muddy Water, זה כמה שנים. הקבוצה חוותה התפתחות, והייתה לקבוצת האקרים מתקדמת, בעלת יכולות תקיפה משוכללות", כך אמר יורי רוז'נסקי, חוקר סייבר בכיר, מנדיאנט מבית פייראיי (FireEye) ישראל.

רוז'נסקי דיבר ב-Cyber Defense Live, הכנס השנתי שערכה ענקית אבטחת המידע והגנת הסייבר בישראל. הכנס, שקודם על ידי אנשים ומחשבים, התקיים ביום ה' בשבוע שעבר, באופן וירטואלי.

יורי רוז'נסקי, חוקר סייבר בכיר, מנדיאנט מבית פייראיי ישראל. צילום: יח"צ

"עד שנת 2017", אמר, "הם כתבו סקריפטים פשוטים ועשו פישינג קל לזיהוי וחסימה. אז הם נתפסו פעמים רבות על ידי חוקרי אבטחה, והבינו שעליהם להשתפר. ב-2019 הם הבינו שהנוזקה העיקרית שלהם לא באמת עובדת, אז הם כתבו כלי חדש, בשפת פיתוח אחרת. לאחר חשיפתם, הם הבינו שעליהם לשנות את המערכות שלהם. אנו צופים כי הם ישנו בתוך חצי שנה את כל הכלים. בתחילת 2020 הם למדו לתכנת ברמה גבוהה יותר, הוסיפו לכלים יכולות. כבר לא מדובר באותם ילדים של פעם, יש להם כלים יותר רציניים. ב-2018 הם התחזו לסינים, ב-2019 הם הוסיפו הצפנה לכלי התקיפה שלהם. ועדיין, הם נתפסו – אחת משורות הקוד הראשונות באחד הכלים, כללה ציטוט של בנימין נתניהו".

"השנה", סיכם רוז'נסקי, "הם הבינו שעליהם להשתנות. הם משקיעים יותר מאמצים בלא להתגלות. הם עברו ממתקפות רחבות היקף לפגיעה ב'קרם דה לה קרם', יעדים איכותיים ונקודתיים. הם פועלים כדי שהכלי הרציני שלהם לא ייחקר מיד על ידי חברות אבטחה. בהיבט הגיאוגרפי, הם פעילים באירופה ובמזרח התיכון, ובכל מגזרי התעשייה, לרבות ממשל, אנרגיה ופיננסי. בין היתר, קבוצה זו ידעה לנצל היטב את ה'הייפ' שנוצר סביב הקורונה, ולנסח מיילי פישינג שמתחזים ומכילים מידע בנושא, כדי להגיע ליותר יעדים. הקבוצה נהייתה בוגרת ורצינית, וכך גם סוגי המתקפות שלה השתנו. עוד דבר המייחד ומצביע אולי על כוונות ההמשך של הקבוצה, הוא תקיפות הרסניות המתחזות לכופרה".

מתן מימרן, אנליסט סייבר בכיר, מנדיאנט מבית פייראיי ישראל. צילום: יח"צ

"הישגים יפים בזמן קצר"

מתן מימרן, אנליסט סייבר בכיר בחברת מנדיאנט, אמר כי "קבוצת ההאקרים UNC757, המכונה גם Pioneer Kitten, היא אחת ה'אהובות' עלי. זיהינו אותם ב-2016, וצוות ישראלי החל לחקור אותם באמצע 2019. המאפיין הייחודי בעבודה שלהם הוא עבודה באונליין, להשגת כמה שיותר וכמה שיותר מהר – הישגים. הם הגיעו להישגים יפים – אבל עם מחיר". לדבריו, "בסוף 2019 ראינו שינוי גישה, שינוי מיקוד, ומעבר ממתקפות על סעודיה והמפרציות, לישראל ולארה"ב".

"פעילות הקבוצה", הסביר, "כוללת מציאת חולשות שנחשפו, אבל לא כל הארגונים הספיקו לסגור אותן. הם מבצעים סריקות רחבות למציאת יעד פגיע, דרכו הם נכנסים פנימה על ידי אותם חולשות, שטרם הוטלאו. אז הם גונבים סיסמאות, או ממשיכים במבצעי עומק". לדברי מימרן, "קיים עוד שינוי מהותי באופי התקיפה ותכליתה: "בעבר, כל מה שהם הצליחו להוציא, היו כמה שיותר סיסמאות. מאז תחילת השנה ראינו שהם מתעניינים גם בשרתי קבצים וגיבוי, עם גניבות של הררי חומרים, במבצעים הנערכים בפרקי זמן קצרים יחסית".

"אנשי הקבוצה", אמר, "עושים שימוש בעשרות כלים פומביים הזמינים ברשת, כלי אדמין לגיטימיים – ולא רק נוזקות. הם פועלים למיפוי ולהגעה לאזורים המעניינים ברשת הארגונית. הם ניגשו למשאבי רשת פנימיים, יצרו גיבוי של כל מה שאפשר, ואז הוציאו, או ניסו להוציא, זאת החוצה. הם התקינו כלים לגיטימיים לטובת הזלגה של מסה של חומרים. הם הגיעו להישגים יפים בזמן קצר".

"העבודה המהירה הידנית – לא יכולה לבוא בלא טעויות", סיכם מתן מימרן, "ראינו שהם משתמשים באותם שרתי שו"ב, או שהתנתק להם הקישור המאובטח ונחשף ה-IP האיראני מאחור. בין הטעויות היו גם אלו שקידמו אותנו משמעותית בהבנה וזיהוי התוקף: הם עשו שימוש באותן סיסמאות ושמות משתמשים, או שמירת תיקים באותה תיקייה. נקודת המפנה הייתה לפני שלושה חודשים. אז ראינו דמות חדשה ולא מוכרת בפורום וברשת האפלה – שהציעה למכירה נגישויות לאותם יעדים שידענו כבר שהם פרצו אליהם. יצרנו קשר עם הדמות, שהראתה לנו את הנגישות. אז הבנו שהאיש מאחורי הדמות בעצם מקושר לקבוצת התקיפה: יש להם רצון אמיתי לייצר כסף. ראינו חפיפה עם קבוצות איראניות אחרות, לפני או אחרי קבוצת ההאקרים UNC757. הסיכון פה מתרחב, כי הקבוצה מוכרת גישה לרשתות ארגוניות לכל המרבה במחיר".