איראן תקפה בסייבר גופי ביטחון בארה"ב

האקרים איראנים תקפו ארגוני תעשייה ביטחונית – בארה"ב ובעולם – עם דלת אחורית חדשה, כך לפי מיקרוסופט (Microsoft).

חוקרי מרכז האיומים של הענקית מרדמונד אמרו, כי הם זיהו "כנופיית האקרים בגיבוי מדינה". הקבוצה כונתה Peach Sandstrom וחבריה נצפו מנסים להעביר את הנוזקה לעובדי הארגונים הביטחוניים, ככל הנראה באמצעות מערכת Windows.

הנוזקה זכתה לשם FalseFont. לדברי החוקרים, "זו דלת אחורית מותאמת אישית, עם מגוון רחב של פונקציות, המאפשרות למפעילים שלה לגשת מרחוק למערכת הקורבן, להדביק אותה, להפעיל קבצים נוספים ולשלוח מידע לשרתי פיקוד ושליטה (C2) מרוחקים". חוקרי מיקרוסופט ציינו, כי הנוזקה החדשה נצפתה בראשונה תוקפת בתחילת נובמבר 2023.

לפי מיקרוסופט, שלא נקבה בשמות הקורבנות, הארגונים שהותקפו שייכים למגזר ה-Defense Industrial Base (DIB). מדובר ביותר מ-100,000 חברות ביטחוניות וקבלני משנה, המעורבים במחקר ופיתוח של מערכות נשק צבאיות, תת-מערכות ורכיבים.

חוקרי מנדיאנט (Mandiant) מבית גוגל (Google) עוקבים אחר קבוצת ההאקרים APT33. לדבריהם, חבריה מכוונים את המתקפות שלהם כנגד ארגונים בארה"ב, בערב הסעודית ובדרום קוריאה. המטרה שלהם, ציינו, היא "ריגול סייבר אסטרטגי", ויש להם עניין מיוחד בחברות תעופה מסחריות וצבאיות, כמו גם בחברות בתחום האנרגיה, בדגש על ייצור פטרוכימי. חוקרי מיקרוסופט ציינו, כי שמות נוספים של הקבוצה הם HOLMIUM ו-Refined Kitten. הם יודעים על קיומה ופעילותה מאז שנת 2013. לדבריהם, "המתקפות שלה משתרעות על מגוון רחב של מגזרי תעשייה – כולל ממשלה, ארגוני ביטחון, גופי מחקר, ארגונים פיננסים וגופי הנדסה".

"זיהינו פעילות התקפית של משלוח נוזקות על ידי חברי APT33", ציינו במנדיאנט, "חברי הקבוצה קשורים לישות איראנית, אשר ייתכן כי היא הועסקה על ידי ממשלת איראן. זאת, כדי לנהל פעילות בסייבר נגד יריביה".

מוקדם יותר השנה ציינו חוקרי מיקרוסופט, כי זיהו את חברי הקבוצה עוסקים ב"ניסיונות ריסוס סיסמאות נגד אלפי ארגונים". הכוונה למתקפות שבהן ההאקרים מנסים לקבל גישה לארגון באמצעות משלוח סיסמאות רבות, בהנחה שאחת מהן תצליח לעשות זאת. כאשר מתקפות כוח (brute-force) אלו הצליחו, חברי הקבוצה השתמשו בשילוב של כלים זמינים לציבור וכלים מותאמים אישית – כדי לחטט ברשת הקורבן, לעשות זאת באופן מתמיד, ולעבור לרוחב מערכות ה-IT של הקורבן.

חוקרי מיקרוסופט ציינו, כי בחלק קטן מהמתקפות, חברי הקבוצה נצפו גונבים נתונים ממערכות שנפגעו. הם סיכמו בציינם, כי חברי הקבוצה עוסקים באופן עקבי לא רק במתקפות – אלא גם בשיפור המיומנויות שלהם. "לאורך 2023 חברי הקבוצה הוכיחו באופן עקבי עניין בארגונים בארה"ב ובמדינות אחרות – במגזרי הלוויינות והביטחון, ובמידה פחותה – בתעשיית התרופות. התקיפות הביאו לגניבת נתונים ממספר מצומצם של קורבנות במגזרים אלה".

בשנים האחרונות, ציינו אנליסטים, "סוכנויות ביטחון וקבלני משנה שלהן החלו להופיע בתדירות גבוהה יותר מבעבר על הכוונת של האקרים מרוסיה, מדינות דוברות רוסית, צפון קוריאה וסין".