חוקרי סייבר לבכירים ישראלים: היזהרו, איראן מרגלת אחריכם בסייבר

דו"ח שהוציאו אתמול (ד') חוקרי מנדיאנט מראה שלקראת החתימה המסתמנת על הסכם הגרעין עם המערב, איראן ממשיכה במתקפות הסייבר שלה, ואולי אף מגבירה אותן. הדו"ח מעלה שאחת מקבוצות התקיפה הבולטות שפועלות תחת המשטר האיראני, APT42, ממשיכה לתקוף בסייבר, ואוספת מידע על דמויות מפתח וארגונים במערב, כולל מארצות הברית, מבריטניה ומישראל. החברה לא ציינה את הזהות של מושאי הריגול של ההאקרים האיראנים, אולם קוראת לדמויות מפתח, במיוחד מישראל, להיזהר.

חוקרי מנדיאנט ציינו כי "קבוצת APT42 עודנה פעילה באזורים שונים ונדרש להעלות את המודעות לנוכח פעילות זו שלה אל מול יעדים ברחבי העולם, ובישראל בפרט. בוודאות גבוהה, אנחנו מעריכים כי חברי קבוצת ההאקרים ימשיכו בפעילותם העוינת במרחב הסייבר, עם פעולות מעקב וריגול שעונות על דרישות לצורכי המודיעין האיראני".

לדבריהם, "אנחנו מאמינים שקבוצה זו פועלת מטעם ארגון המודיעין של משמרות המהפכה האיראניות. הקבוצה מתמקדת, בין היתר, בתקיפה ואיסוף מידע מעמיק על גופי מחקר אקדמיים וכן על גופי מדיה ותקשורת, אשר עוסקים בנושאים הקשורים לאיראן. בנוסף, לקבוצה יש ניסיון איסוף רחב על איראנים או יוצאי איראן במדינות המערב, בהם מתנגדי משטר, וכן דמויות מפתח במדינות המערב".

לפי החוקרים, במקרים מסוימים, התוקפים חדרו לאותן דמויות מפתח, ומשם השיגו נגישות לארגונים גדולים, שמעורבים במדיניות החוץ של מדינות המערב.

כך הם חודרים

על פי מנדיאנט, חברי APT42 משתמשים בטכניקות דיוג חנית (Spear Phishing) ממוקדות ובטכניקות הנדסה חברתית, שנועדו לבנות אמון וקרבה עם הקורבנות שלהם – על מנת לגשת לחשבונות המייל האישיים או הארגוניים שלהם, או להתקין נוזקות מבוססות אנדרואיד במכשיריהם הניידים. בנוסף, ציינו, חברי הקבוצה משתמשים לעתים רחוקות בנוזקות מבוססות Windows כדי להשלים את מאמצי האיסוף של אישורי הגישה שלהם ולהמשיך בפעולות המעקב.

החוקרים חילקו את פעילות חברי הקבוצה לשלוש קטגוריות: האחת היא קצירת אישורים. לדבריהם, "חברי APT42 מתמקדים לעתים קרובות בחשבונות מייל ארגוניים ואישיים, באמצעות קמפיינים ממוקדים של דיוג חנית, תוך מתן דגש על בניית אמון וקרבה עם היעד לפני ניסיון לגנוב את האישורים שלו". לחוקרים יש גם אינדיקציות לכך שהקבוצה ממנפת קצירת אישורים כדי לאסוף קודי אימות רב גורמי (MFA) ולעקוף בקרות אימות, בין השאר על ידי שימוש באישורים שהושגו באופן לא ראוי, כדי להשיג גישה לרשתות, למכשירים ולחשבונות של מעסיקים, עמיתים וקרובי משפחה.

דרך הפעולה השנייה, שמוכרת לחוקרים מאז סוף 2015, היא שימוש של תת קבוצה של התשתית של APT42 בשרתי פיקוד ושליטה (C2) עבור נוזקות ניידות על מכשירי טלפון ניידים מבוססי אנדרואיד. אלה נועדו לעקוב אחר מיקומים של משתמשים, לנטר תקשורת ובאופן כללי "לפקח על פעילותם של אנשים המעניינים את הממשל האיראני, כולל פעילים ומתנגדי משטר באיראן", ציינו.

הדרך השלישית היא פריסת נוזקות. "בעוד שחברי APT42 מעדיפים בעיקר לאסוף אישורים, הרי יש מי מחברי הקבוצה שעושה שימוש בכמה דלתות אחוריות מותאמות אישית ובכלים משלימים כחלק מארגז כלי הפריצה שלו. הקבוצה ככל הנראה משלבת את הכלים הללו בפעילותה באותם מקרים שבהם נעשית פעילות מעבר לקצירת אישורים", נכתב. החוקרים ציינו שהם הבחינו ביותר מ-30 מתקפות שבהן נעשה שימוש בדרכי הפעולה הללו. הם העריכו כי המספר האמיתי של החדירות שערכו חברי הקבוצה גבוה בהרבה, בין השאר "בהתבסס על קצב הפעילות הגבוה של הקבוצה", כמו גם על דיווחים רבים בקהילת הקוד הפתוח אודות אשכולות איומים שקשורים, ככל הנראה, ל-APT42.

שינוי המיקוד ככל שסדרי העדיפויות של איראן מתפתחים

מבחינת מטרות, החוקרים ציינו כי "היעדים של חברי APT42 דומים ליעדים של שחקני ריגול סייבר איראניים אחרים. חלק גדול מפעילותם מתמקד ביעדים מהמזרח התיכון. עם זאת, בניגוד לקבוצות ריגול סייבר אחרות, הקשורות למשמרות המהפכה ושהתמקדו בארגוני תעשייה ביטחונית או באיסוף נרחב של מידע אישי מזהה (PII), הרי שהקבוצה מתמקדת בעיקר בארגונים וביחידים הנחשבים למתנגדים או אויבים של המשטר, ובמיוחד משיגים גישה לחשבונות האישיים ולמכשירים הניידים שלהם. הקבוצה פנתה בעקביות ל(מעקב אחר – י"ה) צוותי חשיבה מערביים, חוקרים, עיתונאים, פקידי ממשל מערביים בהווה, פקידי ממשל איראניים לשעבר והפזורה האיראנית בחו"ל".

חלק מפעילות APT42 מצביעה על כך שהקבוצה משנה את המיקוד המבצעי שלה, ככל שסדרי העדיפויות של איראן מתפתחים. כך, למשל, עם פרוץ מגפת הקורונה ביצעו חברי הקבוצה מתקפות ממוקדות נגד ארגונים ממגזר הפארמה. לפני הבחירות לנשיאות איראן, ההאקרים תקפו קבוצות אופוזיציה מקומיות וזרים. "זה מצביע על כך שממשלת איראן סומכת על APT42 שתגיב במהירות לשינויים גיאופוליטיים", נכתב בדו"ח, "על ידי התאמת הפעולות באופן גמיש ליעדים בעלי עניין מבצעי בטהרן".