חשיפה: איראן תוקפת באופן מסיבי ארגונים בישראל

נחשף שחקן איום איראני בסייבר, המכונה UNC3890, שתקף חברות משלוחים וארגוני ממשל, אנרגיה ובריאות ישראליים – באמצעות שימוש בהנדסה חברתית ובעמודי התחברות מזויפים, או פרוצים.

חוקרי מנדיאנט עקבו אחר חברי הכנופייה זה במשך שנה, והם מעריכים "בסבירות בינונית" כי מדובר בשחקן איראני, מה שהופך את עצם התקיפה למשמעותית הרבה יותר – לנוכח ההתמקדות במגזר המשלוחים והעימות הימי שהתחולל בין ישראל לאיראן.

לפי החוקרים, "שחקן איום זה מתמקד באיסוף מודיעין באופן חשאי – ועוסק פחות, אם בכלל, בפעילות סייבר רועשת יותר, אך הנתונים שהוא אוסף עלולים לשמש כדי לתמוך בפעילויות שונות, החל מהדלפת מידע רגיש, ועד להתקפות קינטיות (בעולם הממשי), כמו אלו שפקדו את תעשיית המשלוחים בשנים האחרונות".

החוקרים של מנדיאנט מעריכים כי "שחקן האיום מבצע פעילות ריגול ואיסוף מודיעין, במטרה לתמוך במגוון אינטרסים ופעילויות איראניות. דפוסי הפעילות שלו מעידים על מיקוד בגופים ישראלים ממגזרים שונים". הזיהוי עם איראן, כך ציינו החוקרים, הוא בשל זיהוי של כמה ממצאים טכניים, כמו שימוש במילים בשפה הפרסית וכמו נתיבי PDB – שמזוהים עם כלי סייבר בשימוש איראני.

שימוש במגוון שיטות להצגת הפעילות כתמימה ולגיטימית 

אופיר רוזמן וסתו שולמן, חוקרים במנדיאנט, אמרו כי הקמפיין פעיל לכל הפחות מאז סוף 2020, והמשיך לפעול גם במהלך 2022. "אף על פי שהשחקן ממוקד בישראל, חלק מהגופים שהוא תקף, או ניסה לתקוף, הם חברות משלוחים בעלות פעילות ברחבי העולם. לפיכך, ההשפעה הפוטנציאלית של פעילות UNC3890  עלולה להיות רחבה יותר מישראל בלבד".

לפי החוקרים, חברי קבוצת ההאקרים עושים שימוש במגוון שיטות, כדי שפעילותם תיראה תמימה ולגיטימית: התחזות לשירותים לגיטימיים, התחזות לרשתות חברתיות, וכן שימוש בהצעות עבודה ובסרטונים מזויפים בתחומי הטכנולוגיה.

לדברי החוקרים, ההאקרים עושים שימוש בשני כלים ייחודיים: האחד, כלי בשם SUGARUSH – המאפשר לתוקף גישה למחשב של הקורבן. השני, כלי בשם SUGARDUMP, שגונב סיסמאות מדפדפנים. "כלי זה", ציינו, "שולח לתוקפים את הנתונים שנגנבו באמצעות שירות הדוא"ל של Yahoo, Yandex, גוגל (Gmail). בנוסף, השחקן משתמש גם בכמה כלים הזמינים באופן פומבי, כמו METASPLOIT ו-NorthStar C2.

לפי החוקרים, חברי הכנופייה מפעילים תשתית של שרתי שליטה ותקשורת, C2 Command-and-Control.

שרתים אלה, הסבירו, מארחים דומיינים ודפי התחברות מזויפים שמתחזים לשירותים לגיטימיים, כמו אופיס 365, או לרשתות חברתיות, דוגמת לינקדאין ופייסבוק.

הצעות עבודה מזויפות והתחזות לשירותי משלוחים ישראליים

עוד ציינו החוקרים כי שחקן האיום עושה שימוש בהצעות עבודה מזויפות ובפרסומות מזויפות, שמשווקות לכאורה רובוטים מבוססי בינה מלאכותית. "זיהינו ששרתים בשליטת התוקף תקשרו עם כמה גופים בישראל שהשחקן ניסה לתקוף, כמו גם עם אתר לגיטימי בתחום המשלוחים, שנפרץ והיה מצוי בשליטת התוקפים. להערכתנו, תקיפה זו כוונה למגזר המשלוחים הישראלי, ובפרט לגורמים העוסקים בטיפול, או במשלוח רכיבים רגישים".

המעקב אחר פעילות הקבוצה האיראנית הביא לגילוי של כמה שיטות, כדי להשיג גישה לקורבנות. האחת, שימוש באתר לגיטימי, פרוץ, של חברה ישראלית מתחום המשלוחים, כדי לאסוף מידע על משתמשים (תקיפה המכונה Watering hole.

החוקרים זיהו תשתית בשליטת התוקפים שמתארחת בדף התחברות של חברת שילוח ישראלית לגיטימית, שכנראה נפגעה על ידי קבוצת התקיפה בעבר. התשתית בשליטת התוקפים הייתה פעילה לפחות עד נובמבר 2021, ואפשרה להם לקבל מידע ראשוני על כל משתמש שיזין את הנתונים שלו בדף ההתחברות הלגיטימי שבאתר.

"התשתית שימשה את התוקפים כדי לאסוף מידע על לקוחות ומשתמשים של אותה חברת שילוח ישראלית, בפרט למשלוח או לטיפול במטען רגיש לחום". הם ציינו כי "מעבר לכך, יש לנו אינדיקציה נוספת לניסיון של אותו שחקן איום לתקוף חברת משלוחים ישראלית גדולה אחרת".

שיטה נוספת היא גניבת נתוני התחברות (משמע, שמות משתמשים וסיסמאות) – על ידי התחזות לשירותים לגיטימיים. חוקרי מנדיאנט זיהו כמה דומיינים בשימוש הכנופייה – חלק מהדומיינים נחזו לשירותים ולישויות לגיטימיות, כדוגמת שירות המייל של מיקרוסופט. ההאקרים השתמשו בדומיינים אלה למגוון מטרות, כגון איסוף נתוני התחברות לשירותים לגיטימיים, שליחת מיילים זדוניים (פישינג), או כאמצעי להסתיר את פעילותם, כך שתיראה כאילו היא חלק מתעבורה לגיטימית.

"שיטה שלישית לתקיפה", סיכמו החוקרים, "היא שימוש בהצעות עבודה מזויפות, או בסרטונים מזויפים – כדי להתקין במערכות הקורבנות כלי שמאפשר לתוקף לגנוב מהם נתוני התחברות. בין היתר, שחקן האיום השתמש בסרטון שהתחזה לפרסומת, המשווקת רובוטים המבוססים על בינה מלאכותית".

איראן נלחמת בסייבר נגד ישראל גם דרך לבנון. צילום: BigStock

ההיסטוריה של המתקפות האיראניות מהזמן האחרון

ביולי האחרון האקרים איראניים הורידו את אתר עיריית תל אביב. הם תקפו את אתר העירייה, ובמקום התוכן הרגיל פרסמו הודעה שמברכת קדוש שיעי וטרוריסט פלסטיני.

ביוני השנה האקרים איראניים פרצו לתיבות המייל של בכירים ישראליים, בהם ציפי לבני, לשעבר שרת החוץ, וכן אלוף במיל' ושגריר לשעבר של ארצות הברית בישראל. הפצחנים התחזו לאותם הבכירים וביצעו תקיפות פישינג ממוקדות.

עוד ביוני, האקרים מלבנון תקפו מטרות ממשלה וביטחון בישראל – בחסות המשטר האיראני. היעדים היו יותר מ-20 ארגונים – גופי תשתיות, ממשלה, מגזר ציבורי, תעשיות ביטחוניות ועוד.