מדדים ומחקרים

מחקר חדש חושף: תקיפות הסייבר האירניות עולות שלב

מחקר חדש של חברת אבטחת המידע ESET, חושף את קבוצת התקיפה האיראנית אשר תוקפת ומרגלת אחר ארגונים ישראלים. בין הארגונים המותקפים: ארגון בתחום הבריאות, חברה יצרנית וארגון ממשלתי מקומי
 
מערכת ice | 
האקר-אילוסטרציה (צילום אילוסטרציה AI)
חוקרי חברת אבטחת המידע ESET ניתחו קבוצה הולכת וגדלה של נוזקות הורדה מסדרת OilRig, בהן הקבוצה השתמשה כחלק ממספר קמפיינים במהלך 2022 כדי להשיג גישה לארגוני מטרה מעניינים במיוחד, כשכולם ממוקמים בישראל. בין הארגונים המותקפים בישראל ניתן למנות ארגון בתחום הבריאות, חברה יצרנית וארגון ממשלתי מקומי.
OilRig היא קבוצת תקיפה שבסיסה על פי ההערכות הוא באיראן, ומטרת פעולותיה, כפי שניתן לראות בנוזקות ההורדה האחרונות, היא ריגול סייבר. OilRig השתמשה בנוזקות ההורדה האלה מול מספר מוגבל של מטרות, ועל פי נתוני הטלמטריה של ESET, כולן הותקפו בחודשים הקודמים למתקפה באופן מתמשך ע״י כלים אחרים של OilRig.
מכיוון שארגונים רבים ניגשים למשאבים של אופיס365, נוזקות ההורדה של OilRig, שמופעלות ע״י שירותים מבוססי-ענן יכולות להשתלב בקלות רבה יותר בתעבורת הרשת הרגילה, וזו ככל הנראה הסיבה לכך שהתוקפים בחרו להפעיל את נוזקות ההורדה האלה בקבוצה קטנה של מטרות שמעוררות עניין רב וכבר הותקפו בעבר.
נוזקות ההורדה החדשות: נבדלות מנוזקות אחרות בכך שהן משתמשות בשירותי אחסון ודוא״ל מבוססי-ענן לגיטימיים עבור תקשורת שליטה ובקרה והדלפת נתונים, ביניהם: Microsoft Graph OneDrive API, Microsoft Graph Outlook API, ו-Microsoft Office EWS API.
״בהתאם ליתר מערך הכלים של OilRig, נוזקות ההורדה האלה אינן מתוחכמות במיוחד. עם זאת, הפיתוח והבדיקות המתמשכים של וריאנטים חדשים, הבחינה של שירותי ענן שונים ושל שפות תכנות שונות, והמחויבות לפגיעה באותן המטרות פעם אחר פעם, הופכים את OilRig לקבוצה שכדאי לעקוב אחריה, מסבירה זוזאנה הרומקובה, חוקרת ESET שניתחה את הנוזקה יחד עם אדם בורגר, חוקר נוסף של ESET.
ESET משייכת את נוזקות ההורדה האלה דומות במובנים מסוימים לדלתות האחוריות MrPerfectionManager ו-PowerExchange – תוספות חדשות למערך הכלים של OilRig, המנצלות פרוטוקולי שליטה ובקרה מבוססי דוא״ל, כשההבדל הוא בכך ש-SC5K, OilBooster, ODAgent ו-OilCheck משתמשות בחשבונות שירותי ענן שנמצאים בשליטת התוקף במקום בתשתית הפנימית של הקורבן.
נוזקת ההורדה ODAgent זוהתה ברשת של חברה יצרנית בישראל – באופן מעניין, אותו הארגון הותקף בעבר ע״י נוזקת ההורדה SC5K של OilRig, ולאחר מכן ע״י נוזקת הורדה חדשה, OilCheck, בין אפריל ליוני 2022. ל-SC5K ול-OilCheck יש יכולות דומות לאלו של ODAgent, אך הן משתמשות בשירותי דוא״ל מבוססי-ענן עבור תקשורת השליטה והבקרה שלהן.
במהלך 2022, חברת ESET זיהתה תבנית דומה שחוזרת על עצמה במספר מקרים, כשנוזקות הורדה חדשות הופצו ברשתות של מטרות עבר של קבוצת OilRig: לדוגמה, בין יוני לאוגוסט 2022, ESET זיהתה את נוזקות ההורדה OilBooster, SC5K גרסה 1 ו-SC5K גרסה 2, יחד עם הדלת האחורית Shark, כשכולם זוהו ברשת של ארגון ממשלתי מקומי בישראל. לאחר מכן, ESET זיהתה גרסה אחרת של SC5K (גרסה 3) ברשת של ארגון בריאות ישראלי, שגם הוא הותקף בעבר ע״י OilRig.
OilRig, המוכרת גם בשמות APT34, Lyceum, Crambus או Siamesekitten, היא קבוצת ריגול סייבר שפועלת החל משנת 2014 לפחות וממוקמת לפי ההשערות באיראן. הקבוצה תוקפת ממשלות שונות במזרח התיכון ועסקים מתחומים שונים, ביניהם תעשיות כימיות, אנרגיה, גופים כספיים וחברות תקשורת.
תגובות לכתבה(0):

נותרו 55 תווים

נותרו 1000 תווים

הוסף תגובה

תגובתך התקבלה ותפורסם בכפוף למדיניות המערכת.
תודה.
לתגובה חדשה
תגובתך לא נשלחה בשל בעיית תקשורת, אנא נסה שנית.
חזור לתגובה