עכשיו זה רשמי: מתקפת הסייבר על הטכניון – מאיראן

אח, אח, אחשוורוש: מתקפת הסייבר על הטכניון מלפני שלושה שבועות בוצעה על ידי קבוצת MuddyWater, המזוהה עם משרד המודיעין והביטחון של איראן, כך עולה מחקירה משותפת של מערך הסייבר הלאומי והטכניון.

"לקבוצה", כך נמסר ממערך הסייבר הלאומי, "יוחסו מתקפות רבות בעולם". ארה"ב ובריטניה הוציאו לפני כשנה הצהרה משותפת שבה ייחסו לקבוצה שורת מתקפות על ארגונים ממגוון מגזרי תעשייה ברחבי אסיה, אפריקה וצפון אמריקה. החקירה העלתה כי הקבוצה עשתה שימוש בנוזקה המיועדת להצפנה של מערכות הפעלה.

מי את MuddyWater?

קבוצת MuddyWater, ציינו חוקרי אבטחה בעבר, פעלה ופועלת נגד יעדים במזרח התיכון, וככל הנראה הצליחה לפגוע בספקית שירותי אבטחה. הקבוצה תקפה עם דלתות אחוריות מבוססות כלי קוד פתוח, בין השאר יעדים במצרים ובסעודיה. עוד תקפה הקבוצה חברה תעשייתית בישראל.

בינואר 2022 פרסמה סייברקום, מפקדת פיקוד הסייבר של צבא ארצות הברית, יותר מתריסר דגימות של נוזקות ומסרה שאם מנהלי רשתות יראו שתיים או יותר מהדגימות הללו במערכות שלהם, ייתכן שההאקרים הצבאיים האיראנים כיוונו לארגונים שבהם הם מנהלים. לדבריה, "הדגימות מייצגות כלי קוד פתוח שונים ששחקני מודיעין איראניים משתמשים בהם ברשתות ברחבי העולם". אנשי הפיקוד ייחסו את הנוזקות לאותה קבוצה, MuddyWater.

קבוצת MuddyWater פועלת תחת גוף במשרד המודיעין והביטחון האיראני, MOIS, זרוע של מנגנון הביטחון, המתמקדת במעקב פנימי אחר מתנגדי המשטר ופעילים נגד המשטר בחו"ל.

שרה ג'ונס, אנליסטית בכירה למודיעין איומים במנדיאנט, כיום מבית גוגל, אמרה בעבר כי "איראן מפעילה צוותים רבים המבצעים ריגול בסייבר, מתקפות סייבר ופעולות לאיסוף מודיעין ומידע. שירותי הביטחון שנותנים חסות לשחקנים האלה, ה-MOIS ומשמרות המהפכה, משתמשים בהם כדי להשיג דריסת רגל במערכות המחשוב של היריבים והמתחרים של איראן בכל רחבי העולם".

לפי מידע שפורסם בדו"ח האיומים של חברת אבטחת המידע ESET לשנת 2022, MuddyWater היא שחקן פעיל איראני אשר משתמש בדלתות אחוריות מבוססות סקריפטים וכלי קוד פתוח.

חוקרי ESET עוקבים באחרונה אחר קמפיין MuddyWater חדש, המכוון לקורבנות במצרים ובערב הסעודית, ושבמסגרתו הקבוצה משתמשת בכלים לגישה מרחוק על מנת לגשת באופן אינטראקטיבי למערכות של קורבנות.

מ-ESET נמסר כי "מידע זה מעיד על כך שהקבוצה ככל הנראה הצליחה לפרוץ לספק אבטחה אשר לו ישנה גישה מרחוק לקורבנות. לאחר הגישה הראשונית, הקבוצה השתמשה בכלים לחיבור מרחוק על מנת להטמיע כלי שיאפשר לגשת למערכות הקורבן. קבוצת התקיפה הזו כבר כוונה למטרות ישראליות, כשעל המוקד היה יצרן ישראלי אותו תקפה עם סקריפטים באמצעות PowerShell וכלים נוספים במטרה לדלות מידע".

גם המתקפה על הטכניון היא פעולה של האיראנים. צילום: BigStock

חודש הרמדאן – זמן רגיש לפעילות סייבר מוגברת

מערך הסייבר הלאומי הפיץ לארגונים נתונים המסייעים בזיהוי של המתקפה, כדי שיוכלו לחסום ניסיונות דומים, לצד פרסום המלצות לדרכי התגוננות.

בתוך כך, אנשי המערך ציינו כי מדי שנה, בתקופת חג הרמדאן – המצוין ב-2023 בחודש מרץ – מתקפות סייבר מקודמות אל מול מגוון יעדים בישראל, במטרה לשבש את פעילותם העסקית ולפגוע בשמם הטוב. "מערך הסייבר קורא לארגונים לחזק את רמת ההגנה שלהם".

כזכור לפני יותר משלושה שבועות, קבוצה של האקרים תקפה את שרתי הטכניון. בעקבות המתקפה, אנשי המחשוב של המוסד האקדמי השביתו את מערכות ה-IT שלו באופן יזום. עם היוודע דבר המתקפה, לא הייתה ברורה מידת הפגיעה בתפקוד מערכות ה-IT של הטכניון, אולם לפחות חלקן לא עבדו.

קבוצת התוקפים הסתתרה תחת השם Darkbit, והסבירה שהיא תקפה את הטכניון "בגלל מדיניות האפרטהייד של ישראל". במייל הדרישה לתשלום כתבו ההאקרים כי "משטר האפרטהייד נדרש לשלם על השקרים והפשעים שלו, כמו גם על הכיבוש ופשעי המלחמה וכן על ההרג של אנשים – לא רק פלסטינים, אלא גם נשמות של הישראלים".

בהודעת התביעה לתשלום דמי הכופר, ההאקרים דרשו 80 מטבעות ביטקוין – סכום שווה ערך לשישה מיליון שקלים, שישולמו בתוך 48 שעות. הם איימו שאם לא יקבלו את התשלום במועד האמור, הסכום לתשלום יגדל ב-30%. עוד איימו ההאקרים להציע את המידע המצוי בידם למכירה לאחר חמישה ימים מיום המתקפה. כבר אז מומחים ציינו כי ברור שעילת המתקפה היא אידיאולוגית-לאומנית ולא פלילית. אחרים הזכירו שבלא מעט פעמים, הדרישה לתשלום שימשה הסוואה לפעילות לאומית בחזות פלילית.