איראן, שוב: האקרים הטמיעו נוזקה כדי לתקוף מטרות בארה"ב ובאמירויות

קבוצת האקרים מאיראן, "סופת חול אפרסק" (Peach Sandstorm), פרסו דלת אחורית חדשה. חוקרי האיומים של מיקרוסופט (Microsoft), חשפו אתמול (ד') את הדלת האחורית, וכינו אותה Tickler, "מצב עדין", או בעיה קשה בלשון סלנג.

לפי החוקרים, קבוצת הפריצה פיתחה את הדלת האחורית כך שתפעל באופן מרובה שלבים לטובת יכולות חדירה משופרות לקורבנות ולשם ריגול בסייבר. הם ציינו, כי היא פותחה על מנת לעשות בה שימוש במתקפות נגד מטרות בלוויינים, ציוד תקשורת, מתקני נפט וגז וכן ארגוני ממשל פדרליים ומדינתיים בארה"ב ובאיחוד האמירויות הערביות.

סופת חול אפרסק, ציינו החוקרים, היא קבוצת ריגול בסייבר, המזוהה מאז 2013 לפחות ופועלת כחלק ממשמרות המהפכה.

בשנה שעברה כתבו החוקרים, כי הבחינו בפעילות סייבר אחרת של חברי הקבוצה, מאז פברואר 2023. הקבוצה, סופת חול אפרסק, מכונה גם בשם היסוד הכימי הולמיום (HOLMIUM). זהו שחקן איום איראני בסייבר, ובהתבסס על הפרופיל של הקורבנות שתקפה הקבוצה, קבעו החוקרים, כי "הם רוצים להקל על עצמם לאסוף מודיעין כדי לתמוך באינטרסים של איראן". במתקפות קודמות, חברי הקבוצה תקפו ארגונים מכמה מדינות במגזרי התעופה, הבנייה, ההגנה, החינוך, האנרגיה, השירותים הפיננסיים, שירותי הבריאות, הממשלה, הלוויינות והטלקום.

החוקרים ציינו, כי פעילות סופת חול אפרסק חופפת לפעילות של קבוצות תקיפה אחרות מאיראן – Elfin (קטן, עדין ומקסים), APT33, ו-Refined Kitten (חתלתול עדין או מזוקק). ב-2019 מתקפות סופת חול אפרסק חפפו בלוחות הזמנים שלהן לעלייה במתיחות בין ארה"ב ואיראן.

במקרה הנוכחי, שאותו החוקרים פרסמו אתמול, הם זיהו שתי דוגמאות של הנוזקה Tickler, שההאקרים פרסו בין אפריל ליולי 2024. לאחר הטמעת הנוזקה, היא אוספת מידע מרשת המחשב הנגועה של הקורבן ושולחת אותו לשרת פקודה ובקרה (C2), מה שעוזר לתוקפים להבין את היקף הפריסה של הנוזקה ואת מידת הפגיעה שלהם ברשת. ב"חוצפתם", ההאקרים גם עשו שימוש בענן Azure של מיקרוסופט כדי לפגוע בלקוחות הענן של הענקית מרדמונד, כמו גם לנצל את משאבי המחשוב בענן – לטובת התקיפות. לאחר שהתוקפים השיגו גישה ראשונית לרשת הקורבן, הם עושים כמה פעולות: שיטוט לרוחב מערכות היעד באמצעות Server Message Block; הורדה והתקנה של כלי ניטור וניהול מרחוק; צילום תמונת מצב של Microsoft Active Directory.

חוקרי מיקרוסופט סיימו את המחקר בכותבם, כי "השימוש בדלת אחורית מותאמת אישית תואם את יעדי איסוף המודיעין המתמשכים של שחקן האיומים. הפיתוח של דלת אחורית זו מייצג את ההתפתחות האחרונה של פעולות הסייבר ארוכות השנים של שחקן האיום האיראני".