ישראל – הכי מותקפת בסייבר במזרח התיכון

מדינות רבות במזרח התיכון מותקפות בסייבר, כולל, למשל, איחוד האמירויות וערב הסעודית, ומנגד איראן, אבל המדינה שחווה את הכי הרבה מתקפות היא ישראל – כך לפי דו"ח חדש של ESET. החוקרים של ענקית האבטחה מצאו שמגזרים רבים בישראל מותקפים בסייבר, אולם יש מיקוד במגזר שעד עכשיו הספוט עליו היה חלש יותר – התחבורה.

הדו"ח סוקר את פעילות קבוצות התקיפה בין אפריל לסוף ספטמבר השנה. מהמחקר עולה כי חברה ישראלית מתחום התחבורה, ששמה לא צוין, הייתה מטרה של קבוצת מים עכורים (MuddyWater) האיראנית, שהקדישה משאבים רבים להטמעה ושימוש בכלים שונים בתוך הארגון. המפעילים השקיעו זמן בתנועה רוחבית ברשת, וכן איסוף אישורים ומידע נוסף, לצורך הוצאתו מחוץ לרשת. "פעילות כזו, אף שאינה נדירה בקרב קבוצות רבות, היא יוצאת דופן עבור קבוצת התקיפה (מים עכורים – י"ה) ומעידה על עניין מוגבר בתחום התחבורה. לנוכח המתחים והעימותים הנוכחיים במזרח התיכון, הגיוני שקבוצות המיוחסות לאיראן יכוונו לתעשיות קריטיות כמו תחבורה", כתבו.

"ככלל, במזרח התיכון", נכתב בדו"ח, "כמה קבוצות APT המזוהות עם איראן ממשיכות לתקוף ארגונים ממשלתיים, כשישראל היא זו שהתמודדה עם היקף המתקפות הגדול ביותר".

מנהיג איראן, עלי חמינאי. צילום: האתר הרשמי, מתוך ויקיפדיה

עוד באשר לאיראנים, החוקרים זיהו אינדיקציות אפשריות לכך שקבוצות המזוהות עם המשטר בטהרן משתמשות ביכולות הסייבר שלהן כדי לתמוך במאמצי הריגול הדיפלומטי של המדינה, ואף במבצעים ההתקפיים שלה.

חוקרי ESET הוסיפו כי "הקבוצות המזוהות עם איראן ממשיכות להתמקד בעולם כולו, וניסו לתקוף משלחות דיפלומטיות בצרפת וארגונים חינוכיים בארצות הברית". עוד ציינו החוקרים כי קבוצות אלה הצליחו לפרוץ לכמה חברות שנותנות שירותים כספיים באפריקה. "היבשת היא בעלת חשיבות גיאו-פוליטית לאיראן", אמר ז'אן-יאן בוטין, מנהל מחלקת המחקר ב-ESET. "כמו כן, קבוצות איראניות ביצעו ריגול סייבר מול עיראק ואזרבייג'ן – מדינות שיש להן גבול משותף ויחסים מורכבים עם איראן".

גם סין לא טומנת את ידה בצלחת

חוקרי ESET זיהו התרחבות משמעותית בהיקף המטרות של קבוצת MirrorFace, שמזוהה עם סין. הקבוצה, שעד העת האחרונה התמקדה במטרות יפניות, הרחיבה את פעילותה, ובפעם הראשונה פגעה בארגון דיפלומטי באיחוד האירופי, בזמן שהיא ממשיכה בתקיפת מטרות מארץ השמש העולה.

נשיא סין, שי ג'יאנפינג. צילום: ShutterStock

קבוצות ה-APT המזוהות עם סין מסתמכות יותר ויותר על SoftEther – שירות VPN שמבוסס על קוד פתוח ותומך בפלטפורמות מרובות – כדי לשמר גישה לרשתות של קורבנותיהן לאורך זמן. בוטין ציין כי "לגבי קבוצות האיום המזוהות עם סין, זיהינו שימוש נרחב של קבוצת Flax Typhoon ב-SoftEther, וראינו מעבר של Webworm משימוש בדלת אחורית מלאה להסתמכות על SoftEther VPN Bridge במחשבים השייכים לארגונים ממשלתיים באיחוד האירופי. עוד הבחנו בהפעלה של שרתי SoftEther אצל ספקי תקשורת אפריקניים על ידי Gallium".

באשר למתקפה על הארגון הדיפלומטי האירופי, הוא אמר כי "האיחוד האירופי הוא אזור שממשיך להוות מוקד עניין עבור כמה גורמי איום המזוהים עם סין, צפון קוריאה ורוסיה. רבות מהקבוצות מתמקדות בעיקר בישויות ממשלתיות ובמגזר הביטחון".

עוד מתקפות צפון קוריאניות

גורמי האיום המזוהים עם צפון קוריאה המשיכו בניסיונותיהם לעשות את מה שהם מתמקדים ואף מתמחים בו: לגנוב כספים – גם מטבעות סטנדרטיים וגם מטבעות דיגיטליים. "זיהינו שהקבוצות האלה ממשיכות במתקפותיהן על חברות ביטחוניות וחברות תעופה באירופה ובארצות הברית", ציינו חוקרי ESET, "ובנוסף לכך תוקפות מפתחי מטבעות דיגיטליים, צוותי חשיבה ועמותות. אחת הקבוצות האלה, קימסוקי (Kimusky), החלה להשתמש באופן זדוני בקבצי Microsoft Management Console – קבצים שבדרך כלל משמשים רק מנהלי מערכות".

קים ג'ונג און, שליט צפון קוריאה. צילום: ShutterStock

עוד נכתב כי "כמה קבוצות המזוהות עם צפון קוריאה ניצלו לרעה שירותי ענן פופולריים".

הקרמלין ממשיך לתקוף

בנוסף, ציינו החוקרים כי הם זיהו "מתקפות חוזרות ונשנות כלפי שרתי מייל מקוונים כמו RoundCube ו-Zimbra מצד קבוצות המזוהות עם רוסיה. המתקפות בוצעו בדרך כלל באמצעות הודעות פישינג ממוקדות, שמפעילות פרצות XSS ידועות".

נשיא רוסיה, ולדימיר פוטין. צילום: ShutterStock

החוקרים התמקדו בכמה קבוצות המזוהות עם רוסיה, ובהן Sednit, שתוקפת ישויות ממשלתיות, אקדמיות וביטחוניות ברחבי העולם. קבוצה נוספת שלוחת מוסקבה היא GreenCube, שגונבת הודעות מייל באמצעות פרצות XSS ב-Roundcube. קבוצות אחרות המזוהות עם רוסיה המשיכו להתמקד, איך לא, באוקראינה: ההאקרים של Gamerdon הפעילו קמפייני פישינג ממוקד נרחבים, ובמקביל שיפרו את הכלים שלהם לניצול תוכנות המסרים טלגרם וסיגנל, וקבוצת Sandworm השתמשה ב-WrongSens – הדלת האחורית החדשה שלה למערכות Windows.