CISA ומיקרוסופט מזהירות מפני עלייה במתקפות סייבר המגיעות מאיראן

באחרונה חל גידול בהיקף מתקפות סייבר שהושקו על ידי קבוצות פריצה הנתמכות על ידי איראן.

CISA, הסוכנות האמריקנית לאבטחת סייבר ותשתיות, הודיעה בהתראה שהפיצה, כי צוות ההאקרים APT, המהווה איום מתקדם ועקבי ופעל כשלוח של ממשלת איראן, מנצל פגיעויות ידועות ב-Microsoft Exchange וברכיבי פורטינט (Fortinet) כדי לתקוף באופן ממוקד רשתות IT של ארגונים מהמגזר הממשלתי והפרטי.

"שחקני האיום הפועלים בחסות ממשלת איראן", הזהירה הסוכנות, "מכוונים באופן פעיל אל עבר מגוון רחב של קורבנות, על פני מספר רב של מגזרי תשתיות קריטיות בארה"ב, כולל מגזרי התחבורה והבריאות, כמו גם כנגד ארגונים אוסטרליים".

לפי ההודעה, "ארבע סוכנויות, ACSC – מערך הסייבר הלאומי האוסטרלי, NCSC – מרכז הסייבר הלאומי הבריטי, CISA וה-FBI, מעריכות ששחקני האיום הללו מתמקדים בניצול נקודות תורפה ידועות – במקום להתמקד בארגונים ממגזרים ספציפיים. שחקני APT בחסות ממשלת איראן עלולים למנף את הגישה הזו לפעולות המשך, כגון חילוץ נתונים או הצפנה, כופרות וסחיטה".

על פי CISA, קבוצת האיום הספציפית הזו הייתה פעילה מאז מרץ השנה, אז אנשיה החלו למקד את פעילותם על ידי ניצול חולשות ופגיעויות בסביבות FortiOS של פורטינט. באוקטובר האחרון, ציינו בסוכנות, ההאקרים עשו "הסבה" והתמקדו בפגיעויות של Exchange ProxyShell של מיקרוסופט.

שתי הפגיעויות הללו כבר קיבלו עדכון וטלאי אבטחה, ו-CISA קראה למנהלי מערכת לבדוק ולהתקין את העדכונים הללו בהקדם האפשרי, כדי להגן על הרשתות שלהם מפני התקפה.

גם מיקרוסופט מזהירה

במקביל, וככל הנראה בלא קשר, מיקרוסופט הודיעה כי צוותי האבטחה שלה רשמו עלייה במתקפות של קבוצות APT בגיבוי איראני – כנגד חברות המספקות שירותי IT.

הענקית מרדמונד אמרה, שמתחילת השנה היא נאלצה לספק ל-40 ספקיות שירותי IT יותר מ-1,600 הודעות על התקפות מקבוצות APT הנתמכות על ידי איראן. מדובר בנתון המשקף גידול של פי 40 לעומת 2020, אז היא סיפקה 40 התראות שכאלו. חוקרי מיקרוסופט ציינו כי הם מאמינים שספקיות ה-IT מותקפות כחלק ממאמץ של ההאקרים להשיג גישה ללקוחותיהם של הספקיות במגזרי שוק שיש בהם כסף רב (דוגמת היי-טק והמגזרים הפיננסי והביטחוני, י.ה.), כמו גם ארגונים מהמגזר הממשלתי. במהלך המתקפות, ציינו החוקרים, ההאקרים מנסים להגיע לארגוני הקורבנות על ידי מיקוד מתקפות בארגוני צד ג' ובשרשראות האספקה שלהם. אז הם מנסים הרשאות גישה לרשתות הלקוחות, כדי לאפשר ביצוע התקפות נוספות.

בשבוע שעבר מיקרוסופט ציינה כי קבוצות APT איראניות הולכות ומשתכללות בטכניקות הפריצה שלהן לרשתות של ארגונים. כך, ציינו החוקרים, "בעבר ההאקרים נהגו לפעול בשיטת Brute Force – מתקפת סייבר המנסה להשיג שם משתמש וסיסמה לטובת כניסה מורשית לאתר על ידי הרצה של סיסמאות אקראיות. כיום, הם משתמשים גם בטקטיקות 'עדינות' יותר, כאשר הבולטת בהן היא הנדסה חברתית. מצב חדש זה מהווה עדות לכך, שצוותי הפריצה מצוידים ומנוסים יותר מבעבר".

בספטמבר 2020 חשפו חוקרי מיקרוסופט מתקפות סייבר חדשות – מצד רוסיה, סין ואיראן – כנגד אנשים וארגונים הקשורים ומעורבים בבחירות לנשיאות ארה"ב. המתקפות נערכות ונערכו נגד שני צידי המתרס הפוליטי, של דונלד טראמפ, אז נשיא ארה"ב, וג'ו ביידן, אז המועמד הדמוקרטי. אחת הקבוצות הייתה פוספורוס (Phosphorus, שפירושו 'זרחן'), המכונה גם החתלתול המקסים, שפועלת מאיראן, ושהמשיכה לתקוף את החשבונות האישיים של אנשים הקשורים לטראמפ ולקמפיין שלו. "הקבוצה עורכת מתקפות ריגול בסייבר זה כמה שנים. קמפייני הריגול מתמקדים במגוון רחב של ארגונים הקשורים לאינטרסים גיאופוליטיים, כלכליים או זכויות אדם במזרח התיכון. מיקרוסופט נקטה בעבר בצעדים משפטיים נגד תשתית הקבוצה… השתלטנו על 155 דומיינים של הקבוצה… בין מאי ליוני 2020, ההאקרים מאיראן ניסו, בלא הצלחה, להיכנס לחשבונות של פקידי ממשל ואנשי צוות הקמפיין של טראמפ".

כעת, ציינו החוקרים, "מרכז מודיעין האיומים של מיקרוסופט צפה בשחקני "זרחן" המשתמשים בהנדסה חברתית כדי ליצור קשר ראשוני עם קורבנותיהם לפני שהם מכוונים את המתקפות נגדם. סביר להניח שפעולות אלו דרשו השקעה משמעותית בזמן ובמשאבים מצד שחקן האיום האיראני".