לא נחים לרגע: כלי ריגול איראניים חדשים הופעלו כנגד יעדים ישראליים

סייבריזן חשפה הבוקר, כי כלי ריגול התקפיים איראניים חדשים הופעלו במטרה לגנוב מידע רגיש ולהסב נזקים לארגונים ישראליים

האם פרצו למצלמות אבטחה משטרתיות?

יום לאחר הפרסום הבלעדי באנשים ומחשבים על הגידול במתקפות האיראניות כנגד ישראל – כלי ריגול התקפיים איראניים חדשים הופעלו במטרה לגנוב מידע רגיש ולהסב נזקים לארגונים ישראליים, כך חשפה הבוקר (ג') סייבריזן(Cybereason) .

על פי החוקרים, בניגוד למתקפות כופרה של קבוצות פשיעה הפועלות למטרות בצע כסף, התוקפים האיראנים פעלו ממניעים גיאו-פוליטיים, על מנת לפגוע באינטרסים של מדינת ישראל, ארה"ב ומדינות המפרץ.

במהלך החודשים האחרונים, צוות המחקר של סייבריזן עקב אחר קבוצת האקרים האיראניתMoses Staff . הקבוצה אותרה בראשונה באוקטובר 2021 כאשר שמה נקשר לפריצת מאגרי הנתונים של צה"ל וגניבת תמונות פרטיות של בני גנץ, שר הביטחון.

על פי המחקר, מדינת ישראל היוותה יעדי תקיפה אסטרטגי, כאשר פעולות התקיפה לא היו ממוקדות כנגד מגזר ספציפי. על קורבנות התוקפים נמצאו מגוון גופים: ארגונים פיננסים, גופים ממשלתיים, ספקיות אנרגיה, מפעלי תעשייה וייצור ועוד.

בקמפיין התקיפה התוקפים השתמשו בנוזקה מסוג RAT (ר"ת Remote Access Trojan), הנשלטת מרחוק. נוזקה זו לא תועדה עד היום וזכתה לכינוי StrifeWater , מי מריבה, מים מסוכסכים.

קבוצת ההאקרים נהגה על פי דפוס פעולה קבוע: חדירה לסביבת הארגון באמצעות ניצול חולשות על שרתי חלונות (ProxyShell) והתקנת נוזקה מסוג WebShell. טכניקה זו מעניקה לתוקף גישה לארגון דרך אתר אינטרנט שאינו מאובטח כראוי. לאחר ההשתלטות, החדירו התוקפים את נוזקת StrifeWater לרשת, ואז הם החלו לנוע בחופשיות בסביבת הארגון במטרה לחפש מידע רגיש אותו יוכלו לגנוב, להדליף ובסוף גם להצפין. זאת, כדי להשבית את ארגונים הנפגעים. בתום שלבי התקיפה, הנוזקה ידעה למחוק את עצמה ולהיעלם מהרשת מבלי להשאיר זכר להימצאותה. דרך פעולה מתוחכמת זו עזרה לקבוצת התקיפה לפעול חודשים מתחת לרדאר של כלי אבטחה רבים ולטשטש את עקבותיה. בנוסף לכך, נראה שאת מרבית כלי התקיפה שלהם הצליחו חברי Moses Staff להסתיר תחת מעטה של כלי Windows לגיטימיים.

לפי חוקרי ענקית הגנת הסייבר הישראלית, "פעולות אלו הן רק חלק מקמפיין תקיפה רחב, המנוהל על ידי גורמי ביון איראניים. הוא כולל בתוכו קבוצות תקיפה שונות, שפועלות במקביל באופן עצמאי".

במחקר נחשפו גם כלי תקיפה חדשים של קבוצת פוספורוס (Phosphorus, שפירושו 'זרחן'), המכונה גם החתלתול המקסים, שפועלת מאיראן. הקבוצה החלה את דרכה ב-2014 ותקפה מטרות שונות כגון ארגוני בריאות גדולים בארה"ב ומוסדות אקדמיים באירופה. ב-2020 פורסם כי פוספורוס המשיכה לתקוף את החשבונות האישיים של אנשים הקשורים לנשיא ארה"ב לשעבר, דונאלד טראמפ ולקמפיין שלו. חוקרי מיקרוסופט קבעו אז כי "הקבוצה עורכת מתקפות ריגול בסייבר זה כמה שנים. קמפייני הריגול מתמקדים במגוון רחב של ארגונים הקשורים לאינטרסים גיאופוליטיים, כלכליים או זכויות אדם במזרח התיכון". לפי המחקר הנוכחי, הקבוצה פיתחה באחרונה מערך מורחב של כלי תקיפה חדשים, ביניהם כלי מתוחכם, המוגן במספר שכבות הצפנה, בשם PowerLess Backdoor. כלי זה שימש את התוקפים בפעולותיהם, לטובת שימוש כדלת אחורית לרשת הארגונית, דרכה יכלו לפרוץ לסביבה ולגנוב מידע רגיש.

לדברי ליאור דיב, מייסד ומנכ"ל סייבריזן, "קמפיין התקיפה מדגיש כי אין עוד הבחנה משמעותית בין יריבות מדינתית וקבוצת תקיפה עצמאית. תוקפים רבים משתמשים בנוזקות מתוחכמות על מנת לחדור לארגונים, להשחית ולגנוב מידע רגיש, ובסוף גם למחוק את עקבותיהם וכך לחמוק ממערכות ההגנה המסורתיות. ארגונים צריכים להתקדם לטכנולוגיות חדשות שעוצרות תקיפות אלו – לפני שנגרם נזק".

אסף דהן, ראש קבוצת המחקר בחברה הוסיף, כי "ניכר כי שתי קבוצות התקיפה שאוזכרו במחקר פעלו מתוך מניעים גיאו-פוליטיים מובהקים, ולא ממניעים כלכליים כפי שמקובל בקרב קבוצות פשיעת סייבר שמבצעות מתקפות כופרה. קבוצות תקיפה איראניות משתמשות בכופרות על מנת לזרוע הרס ופחד בקרב קורבנותיהם, בניסיון להשפיע על התודעה הציבורית. זאת, כחלק ממלחמת הסייבר המתנהלת בשנים האחרונות בין איראן לישראל".

אתמול (ב') פרסמנו בלעדית כי ב-2021 חלה עלייה ניכרת בכמות התקיפות של קבוצות סייבר איראניות על חברות וארגונים בישראל, לפי דו"ח של חברת הסייבר הישראלית קלירסקיי. מאות חברות ישראליות הותקפו וחלקן חוו מגוון פגיעות, ביניהן הדלפה, נזק וחבלה. מטרותיהן העיקריות של התקיפות האיראניות היו ריגול, הרס, סחיטה כספית ותודעה.

האיראנים ביצעו בשנה החולפת שורה של מתקפות סייבר נגד יעדים ישראליים, שמרביתן לא פורסמו. אחת המתקפות שתפסו כותרות היא זו שביצעה באוקטובר האחרון קבוצת Black Shadow, המקושרת למשטר בטהרן, נגד חברת אחסון השרתים סייברסרב. הנפגעת העיקרית ממתקפה זו הייתה אפליקציית ההיכרויות לקהילה הלהט"בית אטרף.

בנובמבר האחרון הוגש כתב אישום נגד עובד ניקיון בביתו של שר הביטחון, בני גנץ, בטענה שניסה לרגל לטובת איראן על ידי פנייה לקבוצת Black Shadow.

חודש לאחר מכן, בדצמבר, פורסם מחקר של סימנטק, שלפיו איראן ביצעה קמפיין ריגול נגד חברות שירותי IT וחברות טלקום בישראל, כמו גם במדינות אחרות במזרח התיכון ובאסיה בכלל. עוד באותו החודש, צ'ק פוינט פרסמה שאיראן ניצלה את החולשה החמורה Log4j, שבחודשים האחרונים מטרידה מאוד את מומחי הסייבר בעולם, על מנת לתקוף שבע מטרות ממשלתיות ועסקיות בישראל.

מיקרוסופט גילתה שבין החודשים יולי לאוקטובר תקפו האקרים איראניים שורה של קבלני ביטחון, בין היתר בישראל. החברה ציינה באוקטובר, כי מספר מתקפות הסייבר של איראן נגד ישראל גדל פי ארבעה בשנה שלפני כן.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים