דיגיטל וטק
נחשפו כלי ריגול איראנים שהופעלו כנגד יעדים בישראל
מחקר חדש של חברת הסייבר ההגנתית סייבריזן חשף כלי ריגול התקפיים איראנים חדשים, אשר הופעלו במטרה לגנוב מידע רגיש ולהסב נזקים לארגונים ישראלים
במהלך החודשים האחרונים, צוות המחקר של סייבריזן עקב אחר קבוצת האקרים האיראנית Moses Staff. הקבוצה אותרה לראשונה באוקטובר 2021 כאשר שמה נקשר לפריצת מאגרי הנתונים של צה"ל וגניבת תמונות פרטיות של שר הביטחון לשעבר, בני גנץ.
על פי המחקר, מדינת ישראל היוותה יעדי תקיפה אסטרטגי. פעולות התקיפה לא מוקדו כנגד סקטור ספציפי, ובין קורבנותיהם של התוקפים נמצאו מגוון גופים כגון ארגונים פיננסים, גופים ממשלתיים, ספקיות אנרגיה, תעשיות ייצור ועוד.
בקמפיין התקיפה שהתגלה, השתמשו התוקפים בנוזקה שנשלטת מרחוק מסוג RAT Remote Access Trojan)), אשר לא תועדה עד היום וזכתה לכינוי StrifeWater. הקבוצה נהגה על פי דפוס פעולה קבוע: חדירה לסביבת הארגון באמצעות ניצול חולשות על שרתי ווינדוס (ProxyShell) והתקנת נוזקה מסוג WebShell (טכניקה אשר מעניקה לתוקף גישה לארגון דרך אתר אינטרנט שאינו מאובטח כראוי).
לאחר ההשתלטות, החדירו התוקפים את נוזקת StrifeWater לרשת, ומשלב זה התחילו לנוע בחופשיות בסביבת הארגון במטרה לחפש מידע רגיש אותו יוכלו לגנוב, להדליף ובסוף גם להצפין, כדי להשבית את ארגונים הנפגעים. בתום שלבי התקיפה, הנוזקה ידעה למחוק את עצמה ולהיעלם מהרשת מבלי להשאיר זכר להימצאותה.
דרך פעולה מתוחכמת זו עזרה לקבוצת התקיפה לפעול חודשים מתחת לרדאר של כלי אבטחה רבים ולטשטש את עקבותיה. בנוסף לכך, נראה שאת מרבית כלי התקיפה שלהם הצליחו Moses Staff להסתיר תחת מעטה של כלי Windows לגיטימיים.
פעולות אלו הן רק חלק מקמפיין תקיפה רחב המנוהל על ידי גורמי ביון איראניים, וכולל בתוכו קבוצות תקיפה שונות שפועלות במקביל באופן עצמאי. במחקרה של סייבריזן, נחשפו גם כלי תקיפה חדשים של קבוצת Phosphorus - קבוצה שהחלה את דרכה בשנת 2014 ותקפה מטרות שונות כגון ארגוני בריאות גדולים בארה"ב ומוסדות אקדמיים באירופה.
על פי המחקר נראה שקבוצת Phosphorus פיתחה לאחרונה סט מורחב של כלי תקיפה חדשים, ביניהם גם כלי מתוחכם המוגן במספר שכבות הצפנה ומכונה PowerLess Backdoor. כלי זה שמש את התוקפים בפעולות התקיפה כדלת אחורית לרשת הארגונית, דרכה יכלו לפרוץ לסביבה ולגנוב מידע רגיש.
ליאור דיב, מייסד ומנכ"ל סייבריזן מסר: "קמפיין התקיפה שחשפנו מדגיש כי אין עוד הבחנה משמעותית בין יריבות מדינתית וקבוצת תקיפה עצמאית. תוקפים רבים משתמשים בנוזקות מתוחכמות על מנת לחדור לארגונים, להשחית ולגנוב מידע רגיש, ובסוף גם למחוק את עקבותיהם וכך לחמוק ממערכות ההגנה המסורתיות. ארגונים צריכים להתקדם לטכנולוגיות חדשות שעוצרות תקיפות אלו לפני שנגרם נזק.״
עוד ב-
אסף דהן, ראש קבוצת המחקר מסר: "ניכר כי שתי קבוצות התקיפה שנכללו במחקר פעלו מתוך מניעים גיאופוליטיים מובהקים, ולא ממניעים כלכליים כפי שמקובל בקרב קבוצות פשיעת סייבר שמבצעות מתקפות כופרה. ניסיוננו מלמד כי קבוצות תקיפה איראניות משתמשות בתוכנות כופר על מנת לזרוע הרס ופחד בקרב קורבנותיהם, בניסיון להשפיע על התודעה הציבורית כחלק ממלחמת הסייבר המתנהלת בשנים האחרונות בין איראן לישראל".
הכתבות החמות
תגובות לכתבה(0):
תגובתך התקבלה ותפורסם בכפוף למדיניות המערכת.
תודה.
לתגובה חדשה
תודה.
לתגובה חדשה
תגובתך לא נשלחה בשל בעיית תקשורת, אנא נסה שנית.
חזור לתגובה
חזור לתגובה