איראן, איראן ושוב איראן – תקפה בסייבר ארגונים במזה"ת, כולל בישראל

האקרים, ככל הנראה איראנים, תקפו שורה של מפעילות טלקום וחברות המספקות שירותי IT במזרח התיכון ובאסיה במהלך ששת החודשים האחרונים – כולל בישראל, כך לפי מחקר חדש של סימנטק (Symantec) מבית ברודקום.

פעילות הריגול החשודה כוונה לארגונים בכמה מדינות: ישראל, ירדן, כווית, ערב הסעודית, איחוד האמירויות הערביות, פקיסטן, תאילנד ולאוס. לפי חוקרי צוות צייד האיומים של סימנטק, "המיקוד והטקטיקות עולים בקנה אחד עם שחקנים הפועלים בחסות איראן". למרות זאת, החוקרים לא ציינו כי להאקרים יש קשר לממשלת איראן.

ממתקפות רחבות היקף לפגיעה ביעדים איכותיים ונקודתיים

כמה מהממצאים שעלו במחקר של סימנטק מעידים כי אחת מהקבוצות שהפעילה את קמפיין הריגול בסייבר היא קבוצת ההאקרים האיראנית TEMP.ZAGROS, או Seedworm, או Muddy Water, המוכרת למקצועני אבטחה מאז 2015. עד 2017 הם כתבו סקריפטים פשוטים ועשו פישינג קל לזיהוי וחסימה. אז הם נתפסו פעמים רבות על ידי חוקרי אבטחה, והבינו שעליהם להשתפר. ב-2019 הם הבינו שהנוזקה העיקרית שלהם לא באמת עובדת, אז הם כתבו כלי חדש, בשפת פיתוח אחרת. ב-2018 הם התחזו לסינים. ב-2019 הם הוסיפו הצפנה לכלי התקיפה שלהם. בשנתיים האחרונות הם משקיעים יותר מאמצים בלא להתגלות. הם עברו ממתקפות רחבות היקף לפגיעה ביעדים איכותיים ונקודתיים.

לפי חוקרי סימנטק, חברי הקבוצה איימו בעבר לרצוח חוקרי אבטחה שהתחקו אחר פועלם. מוקדם יותר השנה חברי הקבוצה התמקדו במתקפות על ארגונים מהאקדמיה ומתעשיית התיירות בכמה מדינות, וכן הם תקפו ממשלות ומפעילות תקשורת בשנים האחרונות.

החוקרים ציינו כי הפעילות האחרונה מעלה שהתוקפים מתבססים על תמהיל פעילות של כלי ניהול מרחוק וכלי הערכת סיכוני אבטחה – כלים שהם לגיטימיים – לצד נוזקות זמינות לציבור, ובלא שימוש בנוזקות מותאמות אישית. לאחר פריצת הרשת הארגונית, התוקפים ניסו לגנוב אישורים ולנוע לרוחב הרשת.

לדברי החוקרים, יתכן שחלק מהארגונים שהותקפו, שימשו כ"תחנות ביניים" בדרך למצוא קורבנות נוספים. מותקפים אחרים נפגעו כי בוצעו מתקפות על שרשראות האספקה שלהם.

החוקרים ציינו כי שתי כתובות IP מקמפיין זה נקשרו בעבר לפעילותה של Seedworm, אך סייגו את דבריהם ואמרו שהקבוצה מחליפה באופן קבוע את התשתית שלה, כך שלא ניתן היה לקבוע ייחוס מוחלט של זהותה. עם זאת, הייתה חפיפה בכלים ששימשו בקמפיין זה ובפעילות קודמת של Seedworm.