מים עכורים: עוד מתקפה איראנית בסייבר

מערך הסייבר הלאומי איתר החודש קמפיין דיוג פעיל במרחב הישראלי. החוקרים מעריכים, כי הקמפיין מכוון בעיקר כנגד ארגוני ממשל ושלטון מקומי בארץ.

על פי חוקרי המערך, המסע בסייבר שייך לקבוצת התקיפה האיראנית MuddyWater. זאת, בהתבסס על היכרות עם תשתיות הקבוצה ועם שיטות הפעולה (TTPs) האופייניות לה.

בהתראה נכתב כי "MuddyWater – מים עכורים – היא קבוצת תקיפה איראנית, הכפופה למשרד המודיעין והביטחון האיראני, MOIS. הקבוצה פועלת החל מ-2017 ברחבי המזרח התיכון ובפרט במרחב הישראלי". דפוס פעילותה הוא לרוב במתווה של CNE (ר"ת Computer Network Exploitation). הקבוצה נוהגת להשתמש בטכניקות הנדסה חברתית כדוגמת דיוג חנית, phishing Spear. זאת, בנוסף לניצול והשמשה של פגיעויות מוכרות לצורך השגת נגישות לרשת הארגונית של הקורבנות. אלה נמנים בעיקר עם ארגונים מהמגזרים הבאים: תעופה, אקדמיה, תקשורת, ממשל ואנרגיה. אחת הטכניקות שבה חברי הכנופייה עושים שימוש מרובה, הוא RMM (ר"ת Remote Monitoring and Management) לגיטימיים, דוגמת ScreenConnect, Atera, MeshCentral, ו-Advanced Monitoring Tool.

עוד נכתב בהתראה כי וקטור התקיפה הראשוני מבוצע במתווה דיוג מכתובות מייל שונות, מדומיינים לגיטימיים, שיש לתוקפים אחיזה בהם. למייל הדיוג מצורף קישור להורדת קובץ ZIP,  אשר מאוחסן בשירות אחסון הקבצים Onehub. הקובץ מכיל כלי RMM לגיטימי בשימוש התוקף בשם ScreenConnect. "הכלי מקנה לתוקפים שליטה מרחוק על המחשב המותקף, לרבות העברת קבצים, שליטה באמצעי הקלט, דוגמת – עכבר ומקלדת, צילום מסך ועוד – ומשמש לשימור הנגישות של התוקף ברשת הארגונית ולביצוע עוד פעולות בה".

"מומלץ לנטר מזהים אלה בכל מערכות האבטחה הארגוניות הרלוונטיות – SIEM, מערכות סינון דוא"ל, אנטי וירוס, EDR, פרוקסי ופיירוול", סיימו החוקרים, "ולעדכן את מערך הסייבר הלאומי במקרה של איתור אחד או יותר ממזהים אלה".

בינואר השנה פרסמנו מחקר חדש של ESET, שלפיו "עסקי הסייבר" של רוסיה ואיראן – המשיכו כרגיל. לפי הדו"ח, קבוצות המזוהות עם איראן המשיכו לתקוף בסייבר, כאשר מלבד חברות ישראליות, קבוצת פולוניום (POLONIUM) החלה לתקוף גם חברות-בת זרות של חברות ישראליות. הקבוצה ערכה את המתקפות עם ה"דלת האחורית" המותאמת אישית שלה.

לצד פולוניום, קבוצת האקרים מלבנון, שעובדת בחסות משרד המודיעין והביטחון האיראני, נחשפה – שוב – קבוצת MuddyWater. זו, ציינו החוקרים, פעלה נגד יעדים במזרח התיכון, וככל הנראה הצליחה לפגוע בספקית שירותי אבטחה. הקבוצה תקפה עם דלתות אחוריות מבוססות כלי קוד פתוח, בין השאר יעדים במצרים ובסעודיה. עוד תקפה הקבוצה חברה תעשייתית בישראל.

בינואר 2022 סייברקום, מפקדת פיקוד הסייבר של צבא ארה"ב, פרסמה יותר מתריסר דגימות של נוזקות השייכות לקבוצת MuddyWater.

MuddyWater הוא גוף במשרד המודיעין והביטחון האיראני, MOIS, זרוע של מנגנון הביטחון, המתמקדת במעקב פנימי אחר מתנגדי המשטר ופעילים נגד המשטר בחו"ל.