איראן תקפה בסייבר מועמדים לתעשיות הביטחוניות – גם בישראל

נחשף קמפיין "משרת (או עבודת) החלומות", מסע הונאה איראני, המנסה להשתלט על מחשבים באמצעות פיתוי עובדים להורדת קבצי נוזקה במהלך תהליך ראיונות לקבלת עבודה. את הקמפיין חשפה קלירסקיי (ClearSky) הישראלית. הקמפיין פעיל ועובד ברציפות מאז ספטמבר 2023 ופעל גם נגד גופים ויחידים בישראל.

מועמדים לעבודה בתעשיות התעופה, הביטחון והחלל, קיבלו הצעות עבודה ובהן הוטמנה הנוזקה SnailResin.

ClearSky Cyber Security research identified a campaign named “Iranian Dream Job”, in which the Iranian threat actor TA455 targeted the defense sector by offering fake jobs.
The campaign distributed the SnailResin malware, which activates the SlugResin backdoor. ClearSky… pic.twitter.com/JosEyTeC4P

— ClearSky Cyber Security (@ClearskySec) November 12, 2024

מתקפות סייבר בהקשרי גיוס – ההיסטוריה חוזרת

במקרה מוקדם מאוגוסט 2020 חשפו חוקרי קלירסקיי כי לזרוס, קבוצת האקרים מצפון קוריאה, ניסתה לתקוף בסייבר תעשיות ביטחוניות בישראל – מתקפה שהמלמ"ב במשרד הביטחון סיכל. לזרוס היא קבוצת APT, שמוכרת גם בתור APT37 או Cobra Hidden. החוקרים כינו את פעילות הקבוצה "מבצע משרת חלומות" – Dream Job. הקבוצה פעלה כמה חודשים בישראל ובמדינות רבות נוספות בעולם, והצליחה להדביק ולגנוב מידע מעשרות רבות של חברות וארגונים. במסגרת הקמפיין, הצליחה קבוצת התקיפה לשטות במותקפים באמצעות הצעה של משרת חלומות שנשלחה לעובדי אותם ארגונים. משרת החלומות נשלחה, כביכול, מחברות התעופה והביטחון הבולטות ביותר בארצות הברית, ובהן לוקהיד מרטין, בואינג ו-BAE.

ואילו כעת החוקרים מצאו קשר בין הפרשות. "אנו מייחסים את הקמפיין הנוכחי ל-TA455, תת-קבוצה של שחקן האיום האיראני חתלתול מקסים. זו ידועה גם בשם סופת חול עשן, BOHRIUM ו-Yellow Dev13", קבעו החוקרים. בקמפיין הם גילו קובץ המכיל את הנוזקה SnailResin. זו, וכן הנוזקה SlugResin יוחסו על ידי מיקרוסופט לתת-קבוצה של חתלתול מקסים, הידוע גם כ-APT35.

החוקרים עקבו ומצאו כי הנוזקה הורדה מדומיין המתחזה לאתר גיוס משרות, דרכו נחשף פרופיל הלינקדאין של המגייס. "נראה שהיריב השתמש באותו פרופיל כמו במתקפות הקודמות", העריכו החוקרים. "מצאנו קווי דמיון משמעותיים בין קבוצת לזרוס וחתלתול מקסים", המשיכו וכתבו, "כולל השימוש בשם הפיתוי 'משרת החלומות', טכניקת התקיפה והשימוש בכמה קבצי נוזקות".

לכן, הסיקו החוקרים, "חברי כנופיית חתלתול מקסים האיראנית, התחזו לקמפיין הצפון קוריאני, כדי להסתיר את פעילותם. נראה שצפון קוריאה שיתפה את איראן בשיטות ובכלים שלה לתקיפה, ומכאן הדמיון בתקיפה".

בפברואר השנה חוקרי איומי המודיעין של מנדיאנט (Mandiant) מבית גוגל קלאוד (Google Cloud) חשפו קמפיין סייבר שפעל משך שנתיים, שתקף את מגזרי התעופה, החלל והביטחון במדינות במזרח התיכון, בפרט בישראל ובאיחוד האמירויות, וייתכן שגם את טורקיה, הודו ואלבניה. החוקרים שייכו את הפעילות לקבוצה האיראנית UNC1549, הקשורה לקבוצת Tortoiseshell, שזוהתה בעבר עם משמרות המהפכה. חוקרי קלירסקיי מצאו כי פרופילי לינקדאין של ה"מגייסים" שזוהו בקמפיין הנוכחי הם גרסאות חדשות יותר של אלה שדווחו בעבר על ידי מנדיאנט.

לפי החוקרים, "חברי TA455 תקפו ארגונים בישראל בשיטת 'תקיפה כפולה', האחת, עם נוזקות והשנייה – להסוואה. הם מתחזים למגייסי כוח אדם לחברות, ואם המותקפים מתקבלים לעבודה, ניתן לנצלם ביתר קלות".

Attention Aerospace Sector!
TA455's latest campaign disguises malware as "dream job" offers, targeting industry professionals. Protect your organization from sophisticated phishing attacks aimed at sensitive data. pic.twitter.com/I2PKyRy6Om

— Infoshare Systems (@Infosharenew) November 14, 2024

שימוש בתהליך הדבקה רב-שלבי – שתוכנן בקפידה

"חתלתול מקסים", ציינו, "פועלת משך שנים רבות, ומתמקדת במיוחד במגזרי ממשל וצבא. חבריה עושים שימוש לעתים קרובות בשרשראות זיהום רב-שלביות, שנועדו לגנוב מידע רגיש ולאפשר גישה מרחוק לניצול נוסף. בקמפיינים האחרונים, ההאקרים מינפו טקטיקות של הנדסה חברתית, בעיקר באמצעות פישינג, כדי לפתות קורבנות. הנוזקות שלהם חמקניות, וכוללות קוד זדוני מותאם אישית, כדי להתחמק מזיהוי… השנה הם פעלו הרבה כנגד מזרח אירופה וישראל, ככל הנראה בהשפעת המתחים הגיאופוליטיים המתמשכים סביב הבריתות והאינטרסים של איראן, בעיקר נגד ישויות הנתפשות כאופוזיציה לאיראן… רמת התחכום הטכני של הקבוצה היא בינונית עד גבוהה".

לפי החוקרים, "על מנת להתחמק מגילוי, חברי TA455 מתחזים לגורמי איום אחרים, וכך גם מטעים חוקרי אבטחה… כדי להסתיר את התשתית שלהם ואת תקשורת הבקרה והשליטה, הם עושים שימוש בשירותים מקוונים לגיטימיים כמו Cloudflare, GitHub וענן Azure של מיקרוסופט. הם עושים שימוש בתעבורה לגיטימית, כדי לשמור על פרופיל נמוך ו'להקדים' את מערכות האבטחה. עוד הם עושים שימוש בתהליך הדבקה רב-שלבי, שתוכנן בקפידה, כדי להגדיל את סיכויי ההצלחה שלהם. כך, כבר הודעות הדוא"ל הראשונות להישלח מכילות צרופות של קבצים זדוניים, במסווה של מסמכים הקשורים לעבודה. אלה מוסתרים עוד יותר בתוך קבצי ZIP המכילים שילוב של קבצים לגיטימיים וזדוניים. בגישה מרובדת זו, הם מצליחים להערים גם על הקורבנות וגם על מנגנוני ההגנה. השימוש בלינקדאין, נועד להקנות להם עוד ממד של אמינות ומחזק את ההונאה".

עוד ציינו החוקרים כי "ההאקרים חברי הקבוצה עוסקים על בסיס קבוע בפיתוח של תשתיות מחשוב ונוזקות חדשות, או שהם משנים אותן, מה שמקשה על חוקרי וכלי האבטחה לזהותם – שינוי דומיינים, שינוי כתובות IP והזרקת נוזקות חדשות, או וריאנטים של ישנות. מנועי אנטי וירוס רבים לא זיהו אותם, ואם כן זיהו, ייחסו אותם באופן שגוי ללזרוס".

"העובדה שהם תוקפים ארגונים ועובדים בתעשיות החלל, התעופה והביטחון", סיכמו החוקרים, "מצביעה על אינטרס אסטרטגי בהשגת מידע רגיש, אשר עלול לשבש את הפעילות במגזרים קריטיים אלה. מדובר במאמץ עקבי ומתמשך של TA455, הממחיש את יכולת ההסתגלות שלה ואת מחויבותה להמשיך ולתקוף".