איראן תקפה בסייבר מטרות ישראליות

APT42, שחקן איומים הנתמך על ידי ממשלת איראן, תקף יעדים בישראל ובארה"ב, לרבות קציני צה"ל, כך לפי קבוצת ניתוח האיומים של גוגל – TAG (ר"ת Google Threat Intelligence Group).

הקבוצה, המשוייכת למשמרות המהפכה של הרפובליקה האסלאמית, התמקדה בעקביות במשתמשים בעלי פרופיל גבוה בישראל ובארה"ב, כולל פקידי ממשל בהווה ובעבר, קמפיינים פוליטיים, דיפלומטים, עובדים בצוותי חשיבה, ארגונים לא ממשלתיים ומוסדות אקדמיים אשר תורמים לשיחות מדיניות חוץ.

לפי המחקר, בששת החודשים האחרונים ארה"ב וישראל היוו כ-60% מהמיקוד הגיאוגרפי של חברי הקבוצה, שתקפו בכירי צבא ישראליים לשעבר ופעילים מרכזיים בשני המסעות לנשיאות ארה"ב. "פעילויות אלו מדגימות את המאמץ האגרסיבי והרב-כיווני של הקבוצה, המשנה במהירות את המיקוד המבצעי שלה ותומכת בסדרי העדיפויות המדיניים והצבאיים של איראן", ציינו החוקרים.

לפי החוקרים, באפריל 2024, ההאקרים הגבירו את המיקוד במשתמשים מישראל. "הם חיפשו אנשים בעלי קשרים למגזר הצבאי והביטחוני הישראלי, כמו גם דיפלומטים, אקדמאים וארגונים לא ממשלתיים".

"ההאקרים", ציינו החוקרים, "עושים שימוש במגוון טקטיקות שונות של דיוג בדוא"ל – ואלה כוללות אירוח נוזקות, אתרים מזוייפים והפניות מחדש – שהן זדוניות. ההאקרים מנצלים שירותים דוגמת דרייב, ג'ימייל, דרופבוקס, OneDrive ואחרים.

החוקרים פעלו להשבית את שלל פעילויות הקבוצה, איפסו את כל החשבונות שנפרצו, שלחו אזהרות לקורבנות ועוד. כך, למשל, ההאקרים התחזו לגורמים בסוכנות היהודית, כאילו זו קוראת לממשלת ישראל "להיכנס לגישור כדי לסיים את הסכסוך".

ניסיונות הנדסה חברתית בשירות איראן

חברי הקבוצה עשו שימוש בהנדסה חברתית כדי לתקוף בכירים בצבא הישראלי לשעבר ומנהל בעולם התעופה והחלל, ושלחו מיילים הנחזים לעיתונאי המבקש מהם להגיב על התקיפות האוויריות האחרונות. הם גם שלחו מיילים של הנדסה חברתית לדיפלומטים ישראלים, אקדמאים, ארגונים לא ממשלתיים וגופים פוליטיים. "המיילים נשלחו מחשבונות המתארחים על ידי מגוון ספקי שירותי דוא"ל, ולא הכילו תוכן זדוני", ציינו חוקרי גוגל. 

ההאקרים התחזו גם למכון המחקר האמריקאי ברוקינגס ולמכון וושינגטון למדיניות המזרח התיכון, ותקפו "בשמם" מאז אפריל 2024 – דיפלומטים ועיתונאים ישראלים, חוקרים בצוותי חשיבה אמריקנים ואחרים.

גם הבחירות בארה"ב היו על הכוונת של ההאקרים מטעמה. איראן. צילום: ShutterStock

עוד נטרלו החוקרים חשבונות הקשורים לקמפיינים לנשיאות של ג'ו ביידן ודונלד טראמפ. "זיהינו וחסמנו פעילויות התחזות בחודשים מאי ויוני, כאשר ההאקרים תקפו חשבונות מייל אישיים של תריסר אנשים הקשורים למסעות של ביידן וטראמפ, כולל פקידים בהווה ובעבר בממשלת ארה"ב".

"בחצי השנה האחרונה", כתבו, "שיבשנו באופן שיטתי את יכולתם של התוקפים הללו לעשות שימוש לרעה באתרי גוגל ביותר מ-50 מסעות דומים".

דפוס תקיפה נוסף, לפי החוקרים, הוא משלוח קבצי PDF לגיטימיים, "כחלק מפיתוי הנדסה חברתית, כדי לבנות אמון ולעודד את היעד לפנות לפלטפורמות אחרות כמו סיגנל, טלגרם או ווטסאפ. להערכתנו, התוקפים השתמשו בפלטפורמות הללו כדי לשלוח מייל דיוג כדי להשיג ולקצור אישורי גישה".

"עקבנו ופעלנו לשיבוש של יותר מ-270 קבוצות תוקפים הנתמכות על ידי הממשלה,. אלה פעלו ביותר מ-50 מדינות", סיכמו חוקרי האיומים של TAG, שהוסיפו כי "APT42 הוא שחקן איום מתוחכם ומתמשך ואינו מראה סימנים (לכוונה – י"ה) לעצור את הניסיונות שלו למקד משתמשים ולפרוס טקטיקות חדשות. בחודשים האחרונים הם הראו את היכולת לנהל מסעות דיוג רבים בו-זמנית, במיוחד בהתמקדות בישראל ובארה"ב. ככל שהעוינות בין איראן לישראל מתגברת, נראה פעילות מוגברת מצד APT42".