האקרים פרו-איראניים התקיפו גופים ישראליים – באמצעות תוכנה ישראלית

קבוצת ההאקרים Agruis, המזוהה עם איראן, השתמשה באחרונה בתוכנה ישראלית כדי לתקוף בסייבר מטרות שונות, בין היתר בישראל – כך גילתה ענקית אבטחת המידע ESET. בין הקורבנות שלה בארץ היו חברות מעולמות משאבי האנוש, ה-IT ותעשיית היהלומים. זהות הקורבנות לא נמסרה, אולם דווח כי המתקפה בוצעה בחודש מרץ השנה.

ההאקרים הפעילו נוזקת וויפר (נוזקת השמדת מידע) חדשה בשם פנטזיה על מנת לבצע מתקפת שרשרת אספקה, כאשר הם ניצלו לרעה מפתח של תוכנה ישראלית כדי לפרוס אותה ואת כלי הביצוע שלהם, שנקרא סנדלים. בתוכנה שאותה היא ניצלה משתמשים בתעשיית היהלומים.

בחודש פברואר השנה החלה הקבוצה להתמקד בחברות ישראליות מעולמות משאבי האנוש ותעשיית היהלומים, ובחברת ייעוץ בעולם ה-IT. "ב-20 בפברואר, קבוצת התקיפה פרסה כלים לקצירת אישורים בארגון בתעשיית היהלומים בדרום אפריקה, ככל הנראה כהכנה לקמפיין זה", הסביר אדם בורגר, אנליסיט מודיעין איומים בכיר ב-ESET, "ואז, ב-12 במרץ, היא פתחה במתקפה על ידי פריסת הנוזקה וכלי הביצוע – תחילה על קורבן בדרום אפריקה, אחר כך על קורבנות בישראל ולבסוף על קורבן בהונג קונג".

"הקמפיין נמשך כשלוש שעות, וראינו את מפתח התוכנה משחרר במהרה עדכונים נקיים, תוך שעות ספורות מתחילת המתקפה", הוסיף.

682 סיומות קבצים

נוזקת פנטזיה מוחקת את כל הקבצים בדיסק או את כל הקבצים הכוללים אחת מ-682 סיומות, כולל כאלה ליישומי Microsoft 365, כמו וורד, אקסל ופאואר פוינט, ופורמטים של וידיאו, אודיו ותמונות. על אף שהנוזקה עובדת כך שההתאוששות והחקר יהפכו לקשים יותר, ההתאוששות של מערכת ההפעלה הינה אפשרית. הקורבנות נצפו חוזרים לפעילות בתוך שעות ספורות.

Agrius היא קבוצת תקיפה חדשה יחסית המזוהה עם איראן, וקרויה על שם הדמות המיתולוגית, שמופיעה בהיסטוריה של עמים שונים. היא מתמקדת בקורבנות בישראל ובאיחוד האמירויות מאז 2020. תחילה הקבוצה פרסה ווייפר שהתחפש לתוכנת כופר, ולאחר מכן שינתה אותו לתוכנת כופר מלאה. Agrius מנצלת פגיעויות ידועות ביישומי אינטרנט כדי להתקין Webshells, ולאחר מכן אוספת מידע ופורסת את התוכנות הזדוניות שלה.