פיקוד הסייבר בארה"ב חשף דוגמיות מנוזקות איראניות

סייברקום, מפקדת פיקוד הסייבר של צבא ארה"ב פרסמה יותר מתריסר דגימות של נוזקות ואמרה, שאם מנהלי רשתות יראו שתיים או יותר מהדגימות הללו במערכות שלהם, ייתכן שההאקרים הצבאיים האיראנים כיוונו לארגונים שלהם.

הדגימות פורסמו ב-VirusTotal – מאגר נתונים ציבורי ברשת, שאליו מעלים מיליוני דוגמאות של נוזקות מכל העולם – כדי לבדוק האם קובץ או קישור הם זדוניים, ואם כן, לחקור אותם לעומק. הדגימות, מסרו אנשי פיקוד הסייבר, "מייצגות כלי קוד פתוח שונים ששחקני מודיעין איראנים משתמשים בהם ברשתות ברחבי העולם". הפיקוד שיתף בדוגמיות, לדבריו, "כדי לאפשר הגנה טובה יותר כנגד התוקפים". הם ייחסו את הנוזקות לקבוצת Muddy Water.

בדצמבר האחרון פורסם, כי האקרים איראנים תקפו שורה של מפעילות טלקום וחברות המספקות שירותי IT במזרח התיכון ובאסיה במהלך ששת החודשים האחרונים – כולל בישראל, כך לפי סימנטק (Symantec) מבית ברודקום.

קבוצת ההאקרים האיראנית TEMP.ZAGROS, או Seedworm, או Muddy Water, מוכרת למקצועני אבטחה מאז 2015. עד 2017 הם כתבו סקריפטים פשוטים ועשו פישינג קל לזיהוי וחסימה. אז הם נתפסו פעמים רבות על ידי חוקרי אבטחה, והבינו שעליהם להשתפר. ב-2019 הם הבינו שהנוזקה העיקרית שלהם לא באמת עובדת, אז הם כתבו כלי חדש, בשפת פיתוח אחרת. ב-2018 הם התחזו לסינים. ב-2019 הם הוסיפו הצפנה לכלי התקיפה שלהם. בשנתיים האחרונות הם משקיעים יותר מאמצים בלא להתגלות. הם עברו ממתקפות רחבות היקף לפגיעה ביעדים איכותיים ונקודתיים. חברי הקבוצה איימו בעבר לרצוח חוקרי אבטחה שהתחקו אחר פעילותם. בשנה שעברה חברי הקבוצה התמקדו במתקפות על ארגונים מהאקדמיה ומתעשיית התיירות בכמה מדינות, וכן הם תקפו ממשלות ומפעילות תקשורת בשנים האחרונות.

כך, לאורך השנים הקבוצה תקפה עשרות ארגונים מתחומים רבים, בהם ממשל, תקשורת, אנרגיה, טכנולוגיה, שירותים, תחבורה, אקדמיה, שירותים פיננסיים, טלקומוניקציה ומגזרים אחרים, בדרך כלל כחלק מאיסוף מידע או ריגול.

זו ההעלאה של נתוני נוזקות שסייברקום ערך בראשונה זה תשעה חודשים. פיקוד הסייבר מפרסם במאגר הנתונים VirusTotal לא רק כדי להזהיר קורבנות פוטנציאליים, אלא גם כדי לשדר ליריבי ארה"ב בסייבר שהם עוקבים אחריהם. כך, ב-2019, הפיקוד פרסם 11 דוגמאות הקשורות לפעילות פריצה של ממשלת צפון קוריאה. מוקדם יותר באותה שנה הוא פרסם דוגמאות הקשורות ל-APT28, קבוצת האקרים הפועלת בחסות ממשלת רוסיה, שנחשדה בפריצה למחשבי הוועדה הלאומית הדמוקרטית במהלך הבחירות בארה"ב ב-2016.

Muddy Water הוא גוף במשרד המודיעין והביטחון האיראני, MOIS, זרוע של מנגנון הביטחון, המתמקדת במעקב פנימי אחר מתנגדי המשטר ופעילים נגד המשטר בחו"ל. הפרסום העכשווי הוא הפעם הראשונה שממשל ארה"ב מייחס באופן פומבי את הקבוצה לממשלת איראן.

"איראן מפעילה צוותים רבים המבצעים ריגול בסייבר, מתקפות סייבר ופעולות לאיסוף מודיעין ומידע", אמרה שרה ג'ונס, אנליסטית בכירה למודיעין איומים במנדיאנט (Mandiant). "שירותי הביטחון שנותנים חסות לשחקנים האלה, ה-MOIS ומשמרות המהפכה – משתמשים בהם כדי להשיג דריסת רגל במערכות המחשוב של היריבים והמתחרים של איראן בכל רחבי העולם".