איראן מורתעת? האקרים איראנים ממשיכים לתקוף בסייבר

האקרים איראנים פתחו בקמפיין ריגול בסייבר כבר תוך כדי המלחמה מול ישראל בחודש שעבר. דו"ח חדש של חברת אבטחת הסייבר Lookout חושף ארבע דוגמאות חדשות של DCHSpy, רוגלה המכוונת למכשירים מבוססי אנדרואיד, שחברי קבוצת הריגול האיראנית מים עכורים (MuddyWater) השתמשו בה.

#MuddyWater Android Spyware DCHSpy & SandStrikehttps://t.co/ZYEadSEZDG pic.twitter.com/TqdC3VKFGF

— blackorbird (@blackorbird) July 23, 2025

לפי החוקרים, הקמפיין החדש ממנף פתיונות שבמרכזם סטארלינק (Starlink) – שירות האינטרנט הלווייני שבבעלות SpaceX של אילון מאסק – כדי לפרוס את גרסאות DCHSpy החדשות. סטארלינק הציעה לאיראנים גישה לאינטרנט במהלך השבתת רשת האינטרנט ברפובליקה האסלאמית.

DCHSpy היא רוגלה ממשפחת תוכנות מעקב המכוונות למכשירים מבוססי אנדרואיד, והיא פעילה מאז 2024 לפחות. היא חולקת תשתית עם נוזקה אחרת התוקפת כלים מבוססי אנדרואיד: SandStrike. על רוגלה זו דיווחה לראשונה קספרסקי (Kaspersky) ב-2022. אז היא תקפה אנשים מהדת הבהאית.

החוקרים מעריכים כי כמו SandStrike, כך גם סביר להניח ש-DCHSpy מפותחת ומתוחזקת על ידי קבוצת ה-APT – איום מתמשך ומתקדם – שפועלת תחת משרד המודיעין והביטחון האיראני.

DCHSpy עושה בדרך כלל שימוש בפתיונות פוליטיים ובמסווה של אפליקציות לגיטימיות, כגון שירותי VPN או אפליקציות בנקאיות.

הגרסה החדשה שנחשפה, ציינו החוקרים, "מוסיפה לארגז הכלים של ההאקרים פתיונות חדשים ויכולות חדשות": בעוד שדגימות קודמות של DCHSpy מינפו פתרון VPN לגיטימי, לכאורה, בשם HideVPN, הרי שהדגימות החדשות של DCHSpy מתחזות לשתי אפליקציות VPN חדשות, EarthVPN ו-ComodoVPN. הראשונה מקורה ברומניה והשנייה – בקנדה.

שלוש האפליקציות הללו, כמו גם אפליקציה בשם Hazrat Eshq, מפורסמות בערוצי טלגרם שונים לדוברי אנגלית ופרסית, תוך שימוש בנושאים ובשפה אנטי-איראנית.

באחת מדוגמאות ה-Earth VPN, שהועלתה עם שם קובץ חבילת אנדרואיד (APK) שכלל התייחסות לסטארלינק – פורטו כתובות ומספרי טלפון השייכים לעסקים אקראיים במדינות אלו. "זה עשוי להצביע על כך שדגימות DCHSpy VPN מופצות גם עם פתיונות סטארלינק, במיוחד לאור הדיווחים האחרונים על כך שסטארלינק החלה להציע שירותי אינטרנט לאוכלוסייה האיראנית במהלך הפסקת האינטרנט שהוטלה על איראן בעקבות המערכה שלה מול ישראל", נכתב בדו"ח.

משמשת לצורך פתיונות. סטארלינק. צילום: Shutterstock

מידע רב נקצר ממכשיר היעד

לאחר שהרוגלה נפרסה, דגימות ה-DCHSpy החדשות אוספות מגוון רחב יותר של מידע על מכשיר היעד מאשר בעבר. המידע שנקצר כולל: חשבונות שנכנסו אליהם במכשיר, אנשי קשר, הודעות SMS, קבצים המאוחסנים במכשיר, נתוני מיקום, יומני שיחות, נתוני ווטסאפ, יכולת השתלטות על המיקרופון וקצירת השמע וכן – יכולת השתלטות על המצלמה וקצירת תמונות.

החוקרים זיהו 17 זני נוזקות ניידות, הקשורות ל-10 קבוצות APT איראניות. אלה עשו בהן שימוש בהתקפות מעקב נגד משתמשי טלפונים ניידים. לצד SandStrike ו-DCHSP, זוהתה הנוזקה BouldSpy, ששימשה כוחות במשטרת הרפובליקה האסלאמית ב-2023, וכן GuardZoo, הקשורה לחות'ים בתימן.

חוקרי Lookout הבחינו גם בקבוצות APT איראניות הממנפות רוגלות מסחריות, כגון Metasploit, AndroRat, AhMyth ו-SpyMax – לטובת ביצוע קמפיינים של ריגול בסייבר.

"הדגימות האחרונות הללו של DCHSpy מצביעות על המשך הפיתוח והשימוש ברוגלה – ככל שהמצב במזרח התיכון מתפתח, במיוחד כאשר איראן נוקטת צעדים נגד אזרחיה בעקבות הפסקת האש עם ישראל", סיכמו החוקרים.