נחשף ניסיון של האקרים איראנים לבצע מתקפת הרס על חברות בישראל

צוותי הפעולה של פרופרו וקלירסקיי איתרו ניסיונות של האקרים מקבוצת MuddyWater להחדיר נוזקות הרס וסייעו לחברות בישראל להתגבר על המתקפה * עמרי שגב מויאל: "אנחנו מזהים הסלמה משמעותית בפעילות איראנית נגד מטרות ישראליות. אנחנו ממליצים לחברות ישראליות להישמר"

בועז דולב, מייסד ומנכ"ל קלירסקיי.

קבוצת Muddy Water האיראנית, שיש לה קשרים למשמרות המהפכה ולמודיעין האיראני, ניסתה בשבועות האחרונים לחדור לחברות ישראליות, ככל הנראה בניסיון לפגוע במערכות המחשב של אותן חברות, כך על פי מחקר חדש של חברות הסייבר פרופרו (Profero) וקלירסקיי (Clearsky).

באוקטובר 2018 פורסם כי קבוצת ההאקרים Muddy Water, שפעילותה התגלתה בראשונה ב-2017, הרחיבה את המתקפות שלה מעבר למזרח התיכון אל אסיה, אירופה ואפריקה. הפעילות של גורם האיום המתקדם נצפתה בראשונה במסגרת התקפות בעיראק ובערב הסעודית. לאחר מכן נחשפה פעילות נוספת, גדולה, שהתמקדה בגופים ממשלתיים בירדן, טורקיה, אזרבייג'ן, פקיסטן ואפגניסטן. זאת, בנוסף למיקוד המתמשך במטרות המקוריות.

Muddy Water צצה בשטח בשנת 2017 במסגרת קמפיין הממוקד בגורמי ממשלה בעיראק ובערב הסעודית. ב-2018 זיהו חוקרי קספרסקי זרם מתמשך של הודעות פישינג ממוקד, התוקפות טווח רחב בהרבה של מדינות. הקמפיין הגיע לשיאו במאי וביוני 2018, והוא נמשך באותה שנה. קבוצת Muddy Water הפעילה מספר גדול של התקפות, כשהיא ממשיכה לפתח שיטות וטכניקות חדשות. לקבוצה יש מפתחים פעילים, המשפרים את מערך הכלים, במטרה למזער את החשיפה שלה למוצרי ולשירותי אבטחת מידע.

שחקן האיומים האיראני MuddyWater ידוע גם בשמות  TEMP. Zagros, "חתלתול סטטי" ו-"תולעת זרעים". הקבוצה נחשפה בעבר כקבלן הפועל עבור חיל המשמר של משמרות המהפכה של הרפובליקה האיסלאמית.

"בתחילת ספטמבר איתרנו ניסיונות תקיפה של חברות ישראליות על ידי קבוצת התקיפה האיראנית MuddyWatter", אמר עמרי שגב מויאל, מנכ"ל פרופרו, "חוקרי קלירסקיי איתרו חפיפה בין ניסיון זה לבין קמפיין זהה שנחשף לאחרונה על ידי פאלו אלטו ומטרתו גרימת נזק לחברות. ככל הנראה, המטרה הייתה לשגר מתקפות כופרה מזויפות, שמטרתן להצפין את הנתונים של חברות במשק, מבלי לאפשר את היכולת לשחזר אחר כך את המידע. המתקפות שוגרו באמצעות חולשות ידועות במערכת ההפעלה, או על ידי פישינג, שכלל שימוש במסמכי PDF או מסמכי אקסל נגועים". צוותי הפעולה של שתי חברות הסייבר הישראליות סייעו לחברות שנפגעו להתגבר על התקיפה ולהמשיך בפעילותן.

עמרי שגב מויאל, מנכ"ל פרופרו, צילום: יח"צ

עמרי שגב מויאל, מנכ"ל פרופרו, צילום: יח"צ

לדברי בועז דולב, מנכ"ל קלירסקיי, "בדרך כלל הקבוצה הזאת עוסקת בקמפיינים של הנדסה חברתית, שבאמצעותה היא גונבת מידע ומרגלת אחרי ארגונים. עם זאת, בחשיפה זו נתקלנו בראשונה במתווה תקיפה שונה – שסביר להניח כי נועד לגרום לנזק ולהרס בלבד".

"אנחנו רואים הסלמה משמעותית בעימות הסייבר הישראלי-איראני", סיכם שגב מויאל, "אנחנו ממליצים בחום לחברות ולארגונים להישמר, לעבות את מערכי ההגנה ולשמור על כללי הזהירות. בתקופה הנוכחית, שבה ארגונים מסתמכים יותר ויותר על מערכות מחשוב ועבודה מרחוק, כל שיבוש עלול ליצור נזק קשה, והתקיפה הזאת מוכיחה שיש מי שמחפש אתכם".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים