התגלה קמפיין תקיפה איראני חדש – גם נגד ישראל

הרפובליקה האסלאמית לא מרפה, גם בסייבר: חוקרים חשפו באחרונה שורה של מתקפות שהאקרים איראניים ביצעו נגד ארגונים במדינות במזרח ובמרכז אסיה, כמו גם במזרח התיכון – לרבות בישראל.

הקורבנות שזוהו של הקמפיין, מסוג דיוג חנית (Spear phishing), היו בארמניה, אזרבייג'ן, מצרים, עיראק, ירדן, עומאן, קטאר, טג'יקיסטן, איחוד האמירויות הערביות – וישראל, כך לפי חוקרי דיפ אינסטינקט הישראלית, שגילו אותו.

המיילים שנשלחו לקורבנות הפוטנציאליים הכילו קישורים ישירים לדרופבוקס, או קבצים מצורפים למסמכים עם כתובת URL שהפנתה לקובץ מאורכב, בתצורת ZIP. ההודעות נשלחו מחשבונות מייל ארגוניים שנקצרו בעבר, ומוצעות למכירה בדארק נט במגוון "חנויות דואר אינטרנט", כמו Xleet ,Odin ,Xmina ו-Lufix. המחירים נעים בין 8-25 דולר לכל חשבון.

החוקרים ציינו כי מדובר בקמפיין ממושך, שמתוחזק ומתעדכן באופן פעיל, כאשר טקטיקות ההתקפה של ההאקרים שופרו, שוב, כדי לספק להם יכולת להשתמש בכלי ניהול מרחוק, אחר, בשם Syncro. כמו כלים אחרים, הנוזקה המשולבת, שבמקור נמצאת בשימוש של ספקיות שירות ואינטרנט, מציעה דרך לשלוט לחלוטין במכונה ומאפשרת ליריב לבצע סיור במערך המחשוב הארגוני, לפרוס "דלתות אחוריות" נוספות, ואפילו למכור גישה לשחקני איום אחרים. לפי החוקרים, "כאשר שחקן איום משיג גישה למחשב ארגוני באמצעות יכולות אלה נפתחות בפניו דלתות עם אפשרויות כמעט בלתי מוגבלות".

המבצעת: קבוצה שמוכרת לחוקרים כבר שבע שנים

את הקמפיין מבצעת קבוצת ההאקרים האיראנית Boggy Serpens (נחשי ביצה), שידועה גם בכינויים TEMP.ZAGROS ,Seedworm ,Muddy Water, חתלתול סטטי, מרקורי ו-Cobalt Ulster, מוכרת למומחים מאז 2015. זו יחידת האקרים שפועלת במסגרת משרד המודיעין והביטחון האיראני (MOIS) – זרוע של מנגנון הביטחון של המשטר. הזרוע מתמקדת במעקב פנימי אחר מתנגדי המשטר ובפעילים נגדו מחוץ לגבולות איראן.

איראן – פעילות ענפה בסייבר

באחרונה חשפו חוקרי דיפ אינסטינקט רכיבים חדשים מתוך נוזקה שזכתה לכינוי פולוניום, שמופעלים על ידי קבוצת האקרים מלבנון, וההתקפות שלהם מכוונות אך ורק נגד ישויות ישראליות. ביוני השנה קבעו חוקרי מיקרוסופט כי "פולוניום מתאמת את פעולותיה עם קבוצות רבות של שחקני איום, שמזוהות עם משרד המודיעין והביטחון האיראני. הזהות מתבססת בשל חפיפה בין הקורבנות, וכמה טכניקות וכלים נפוצים לשימוש שמבוצעים על ידם".

בינואר השנה פרסמה סייברקום, מפקדת פיקוד הסייבר של צבא ארצות הברית, יותר מתריסר דגימות של נוזקות ומסרה שאם מנהלי רשתות יראו שתיים או יותר מהדגימות הללו במערכות שלהם, ייתכן שההאקרים הצבאיים האיראנים כיוונו לארגונים שבהם הם מנהלים. לדבריהם, "הדגימות מייצגות כלי קוד פתוח שונים ששחקני מודיעין איראניים משתמשים בהם ברשתות ברחבי העולם". אנשי הפיקוד ייחסו את הנוזקות לקבוצת Muddy Water.

בדצמבר אשתקד פרסמה סימנטק כי האקרים איראניים תקפו שורה של מפעילות טלקום וחברות המספקות שירותי IT במזרח התיכון ובאסיה – כולל בישראל – במשך חודשים.

ההאקרים האיראנים הבינו שעליהם להשתפר

עד 2017, ההאקרים האיראנים כתבו סקריפטים פשוטים וביצעו מתקפות פישינג קלות לזיהוי וחסימה. אז הם נתפסו פעמים רבות על ידי חוקרי אבטחה, והבינו שעליהם להשתפר. כמו כן, ב-2019 הם הבינו שהנוזקה העיקרית שלהם לא באמת עובדת – אז הם כתבו כלי חדש, בשפת פיתוח אחרת. ב-2018 הם התחזו לסינים ושנה לאחר מכן הוסיפו הצפנה לכלי התקיפה שלהם. בשנתיים האחרונות משקיעים האיראנים שלוחי המשטר בטהרן יותר מאמצים באיך לא להתגלות. הם עברו ממתקפות רחבות היקף לפגיעה ביעדים איכותיים ונקודתיים.

חברי הקבוצה שתקפה הפעם איימו בעבר לרצוח חוקרי אבטחה שהתחקו אחר פעילותם. בשנה שעברה הם התמקדו במתקפות על ארגונים מהאקדמיה ומתעשיית התיירות בכמה מדינות, וכן תקפו ממשלות ומפעילות תקשורת בשנים האחרונות. לאורך השנים הקבוצה תקפה עשרות ארגונים מתחומים רבים, בהם ממשל, תקשורת, אנרגיה, טכנולוגיה, שירותים, תחבורה, אקדמיה, שירותים פיננסיים, טלקומוניקציה ומגזרים אחרים – בדרך כלל כחלק מאיסוף מידע או ריגול.

שרה ג'ונס, אנליסטית בכירה למודיעין איומים במנדיאנט, אמרה בעבר כי "איראן מפעילה צוותים רבים המבצעים ריגול בסייבר, מתקפות סייבר ופעולות לאיסוף מודיעין ומידע. שירותי הביטחון שנותנים חסות לשחקנים האלה, ה-MOIS ומשמרות המהפכה, משתמשים בהם כדי להשיג דריסת רגל במערכות המחשוב של היריבים והמתחרים של איראן בכל רחבי העולם".