"כנופיית הסייבר של עזה" תוקפת גם יעדים ישראליים – ומשתפרת
חוקרי פרופפוינט גילו קמפיין מתוחכם שביצעו חברי הקבוצה במשך שלושה חודשים - והסתיים בחודש שעבר, לאחר פרוץ המלחמה ● עם זאת, הם מזהירים שככל שהמלחמה תימשך, ההאקרים עלולים לחזור עם יכולות מתוחכמות יותר
קבוצת סייבר פרו-פלסטינית, שידועה בקמפיינים הממוקדים שלה ושאחד הכינויים שלה הוא כנופיית הסייבר של עזה, ניסתה בחודשים האחרונים לרגל אחרי ממשלות במזרח התיכון באמצעות כלי חדש – כך לפי דו"ח של פרופפוינט, שפורסם שלשום (ג'). אף שזהות הקורבנות לא נחשפה, לאנשים ומחשבים נודע כי חברי הקבוצה תקפו גם בישראל, ועל הכוונת שלהם היו גופים ציבוריים וארגונים מסחריים.
לפי החוקרים, המתקפה – שהייתה ממוקדת – נועדה להשיג גישה ראשונית למערכות פרטניות.
מסעות פישינג ממוקדים ביותר
חברי הקבוצה הפעילו מסעות פישינג ממוקדים ביותר. כל קמפיין שכזה כוון לכל היותר לחמש ישויות, וכלל שיטת גישה חדשה. הפעילות של חברי הקבוצה נמשכה עד לחודש שעבר, אוקטובר – מה שמעיד על כך שהמלחמה בעזה לא שיבשה באופן משמעותי את היכולות שלה, הסבירו החוקרים.
הקבוצה מכונה, כאמור, כנופיית הסייבר של עזה (Gaza Cybergang), אך יש לה שלושה כינויים נוספים: Molerats, TA402 או פרנקנשטיין. היא מוכרת לקהילת האבטחה מזה כעשור. חבריה מתעניינים בארגוני ממשל שעוסקים בנושאים פוליטיים וצבאיים, כולל הסכסוך המתמשך ברצועת עזה. הם מפתים את המשתמשים שעובדים בארגוני הקורבנות לפתוח קבצים מצורפים וללחוץ על קישורים זדוניים. ההאקרים מתמקדים בעיקר בגופים שפועלים במזרח התיכון, ובמיוחד בארגונים ממשלתיים או ארגוני ציבור שפועלים לצד הממשלה.
הצד הטכנולוגי
בהיבט הטכנולוגי, המתקפות של חברי הקבוצה כללו מנגנונים רבים שסייעו להם להימנע מלהיות מאותרים ומזוהים על ידי כלי ניתוח איומים אוטומטי. בחלק מהמתקפות שהם ערכו ב-2021, הם התמקדו רק במחשבים שהותקנו עליהם חבילות שירות בערבית, והסתייעו בקבצי ארכיון, מוגני סיסמה, להפצת נוזקות.
ההאקרים חברי הכנופייה של עזה שלחו מיילים שמכילים פתיונות לקורבנות המיועדים שלהם. בדרך כלל הם כללו מידע מבטיח שקשור לנושאים כלכליים. הפצחנים ניסו להערים על קורבנות ללחוץ על קישורי הורדה מדרופבוקס, שמכילים קובץ שלאחר מכן מוריד שלושה קבצים אחרים למחשב של הקורבן. קבצים אלה העניקו לתוקף את האפשרות לתקוף עם עוד נוזקות, כולל כלי חדש שמספק גישה בלתי מורשית בשם IronWind (רוח ברזל).
האם אלה האקרים פלסטינים? זהותם לא ברורה. צילום: ShutterStock
לדברי ג'ושוע מילר, חוקר איומי סייבר בכיר בפרופפוינט, "נראה שהסכסוך המתמשך במזרח התיכון לא הפריע לפעילותם המתמשכת, שכן הם ממשיכים לחזור, ולהשתמש בשיטות חדשות וחכמות כדי לעקוף את מאמצי הזיהוי".
מילר הסביר כי "באמצעות שרשראות הדבקה מורכבות והטמעת נוזקות חדשות באופן סמוי, חברי הקבוצה המשיכו לעסוק בפעילות תקיפה ממוקדת ביותר, בדגש חזק על פעולות נגד גופים ממשלתיים במזרח התיכון ובצפון אפריקה".
בדו"ח לא צוין בבירור מיהם ההאקרים, למי הם קשורים והיכן הם ממוקמים. חוקרים שמכירים את הקבוצה בשנים האחרונות תיארו אותה ככזו שמתמקדת במיוחד באיסוף מידע על עניינים פלסטיניים. בעבר ציינה פרופפוינט כי "המוטיבציה העיקרית של הקבוצה היא לאסוף מידע רגיש ומסמכים מיעדים בעלי ערך גבוה – לטובת איסוף מודיעין". בהתבסס על יעדי הקבוצה, נושאי הפיתוי והקמפיינים מהעבר, "סביר להניח שהפעילות תומכת במטרות צבאיות או בהקמת מדינה פלסטינית".
קמפיין סייבר שנמשך שלושה חודשים
החוקרים ציינו שהקמפיין הנוכחי של חברי הכנופייה של עזה החל ביולי השנה ונמשך עד אוקטובר. הוא התבסס על כתובת מייל שנפרצה במשרד חוץ של מדינה ששמה לא צוין בדו"ח. עד אוגוסט, הקמפיין השתמש בחשבון המייל של משרד החוץ שנפרץ, ובאוקטובר ההאקרים שינו – שוב – חלק משרשרת ההדבקה. מאוחר יותר בחודש שעבר הם עדכנו את הפיתוי, עם התייחסות למלחמה בעזה.
"TA402, או הכנופייה של עזה, נשארה שחקן איומים מתמשך וחדשני, שבאופן שגרתי מפתח את שיטות המתקפה והנוזקות שלו כדי לשפר את יכולות הריגול בסייבר שלו", סיכמו החוקרים, "ככל שהסכסוך בין ישראל לחמאס נמשך, חברי הקבוצה עלולים להמשיך ולהשתפר טכנולוגית, עם התאמות בפיתויים והגדלת יכולות ההנדסה החברתית שלהם".
תגובות
(0)