הסכם עם לבנון? לא בסייבר

נחשף קמפיין ריגול נגד ארגונים ישראליים, המבוצע על ידי קבוצת תקיפה מלבנון, אשר מתואמת בפעולותיה עם איראן.

לפי חוקרי ESET, הקמפיין, אשר החל בספטמבר 2021 – התמקד ביותר מתריסר ארגונים בישראל, העוסקים בהנדסה, בטכנולוגיות מידע, במשפט, בתקשורת, בשירותים בחברתיים, שיווק ובמדיה. לפי החוקרים, קמפיין הריגול כלל דלתות אחוריות מותאמות אישית, אשר לא תועדו בעבר. עוד נעשה שימוש בכלי ריגול שנפרסו בישראל.

קבוצת התקיפה פולוניום היא קבוצת האקרים מלבנון, שעובדת בחסות משרד המודיעין והביטחון האיראני. היא נחשפה ביוני השנה, כאשר תקפה בסייבר יותר מ-20 מטרות בישראל, כולל ארגונים מהמגזרים הממשלתי, הציבורי והביטחוני, ובעיקר ארגוני תשתיות קריטיות. מיקרוסופט היא שחשפה אותה אז. לצד מתקפות כנגד ארגונים בתוך ישראל, ההאקרים תקפו ארגון ממשלתי לבנוני אחד.

לפי הודעת מיקרוסופט, הקבוצה, שזכתה לכינוי פולוניום, זוהתה כקשורה לממשל של איראן, "בהתבסס בעיקר על חפיפה בין זהות הקורבנות ודמיון של כלי וטכניקות הפריצה". החוקרים שלה זיהו ומנעו פעילות של יותר מ-20 אפליקציות מבוססות שירות האחסון בענן שלה, One Drive. ההאקרים פעלו בעיקר נגד ארגונים ממגזרי התשתיות הקריטיות, הייצור, ה-IT וארגונים מהמגזר הביטחוני של ישראל – ועשו זאת מאז פברואר השנה. עוד מסרו החוקרים, כי הפצחנים השתמשו בחברת IT כדי להתמקד בחברת תעופה בהמשך שרשרת המתקפה, ובמקרה אחר – היעד היה משרד עורכי דין.

פולוניום הוא יסוד כימי רדיואקטיבי רעיל ביותר, נדיר ומסוכן מאוד לטיפול. הוא זוהה על ידי מארי ופייר קירי ב-1898. בתם של בני הזוג, הכימאית אירן ז'וליו-קירי, נחשפה בטעות לפולוניום בעת עבודתה במעבדה, ומתה מסרטן כעבור כ-10 שנים. ב-2006 היה זה הרעל שהמית את המרגל הרוסי ומתנגד המשטר ופוטין אלכסנדר ליטוויננקו – בגלותו בלונדון.

מומחים ציינו, כי הקשרים בין טהראן וההאקרים עולים בקנה אחד עם שורת חשיפות שהחלו בסוף 2020, שלפיהן ממשלת איראן משתמשת בהאקרים צד ג' כדי לבצע פעולות סייבר בחסותה. פעולות מתקפה אלה עונות על האינטרסים הגיאו-פוליטיים של הרפובליקה האסלאמית, ומסייעות לשלטון שלה להכחיש שאיראן היא זו שעומדת מאחורי המתקפות.

לפי חוקרי ESET, קבוצת התקיפה היא שחקן פעיל מאוד עם מגוון עצום של כלים ותוכנות זדוניות, שאותם הוא משנה כל הזמן ומפתחת חדשים. מאפיין משותף של הכלים שבהם הקבוצה עושה שימוש הוא ניצול לרעה של שירותי ענן כמו Mega ו-OneDrive לטובת תקשורת, שליטה ובקרה (C&C). החוקרים מעריכים, כי מירב מאמצי הקבוצה הם לרגל אחר המטרות, ולאסוף נתונים סודיים. ערכת הכלים של פולוניום כוללת שבע דלתות אחוריות מותאמות אישית.

עוד פיתחה הקבוצה גם כמה מודולים מותאמים אישית, כדי לרגל אחר מטרותיה באמצעות צילום מסך, תיעוד הקשות, ריגול באמצעות מצלמת האינטרנט, קבצים ועוד. רוב המודולים הזדוניים של הקבוצה הם קטנים, עם פונקציונליות מוגבלת. באחד המקרים, התוקפים השתמשו במודול אחד לצילומי מסך ובאחר להעלאתם לשרת הפיקוד והשליטה.