שוב: איראן הקימה תשתית תקיפה בסייבר נגד האריס וטראמפ

נחשפה עוד תשתית תקיפה בסייבר, חדשה, אותה הקימו גורמי איום איראניים, שמטרתה לתמוך במסעות השפעה או פעילויות סייבר הקשורות לקמפיינים של שני הניצים הפוליטיים בארה"ב, קמלה האריס ודונלד טראמפ.

חוקרי מודיעים האיומים Insikt של Recorded Future, שזיהו את התשתית, קישרו אותה לקבוצת פריצה שהם עוקבים אחריה, ושמה צ'רלי הירוק (GreenCharlie). קבוצה זו קשורה לאיראן, ומוכרת בכמה כינויים נוספים ומתקפות רבות מהעבר: TA453, APT42, Yellow Garuda, חתלתול מקסים (Charming Kitten), ו-תולעת חול מנטה (לשעבר זרחן – Phosphorus).

"תשתית הקבוצה מעוצבת בקפידה, תוך שימוש בספקי DNS דינמיים (DDNS) כמו Dynu, DNSEXIT ו-Vitalwerks – כדי לרשום דומיינים המשמשים בהתקפות פישינג", אמרו חוקרי חברת אבטחת הסייבר. הם הוסיפו כי "דומיינים אלה משתמשים לעתים קרובות בנושאים מטעים, הקשורים לשירותי ענן, שיתוף קבצים והדמיית מסמכים, כדי לפתות מטרות לחשוף מידע רגיש, או להוריד קבצים זדוניים".

"ליריב יש היסטוריה מתועדת של ביצוע מתקפות פישינג ממוקדות במיוחד, הממנפות טכניקות רחבות של הנדסה חברתית, כדי להדביק משתמשים בנוזקות כמו POWERSTAR (הידוע גם בשם CharmPower ו-GorjolEcho) ו-GORBLE". ממצא זה מהדהד למחקר שהנפיקה באחרונה מנדיאנט (Mandiant) מבית גוגל (Google), על מסעות תקיפה בסייבר נגד יעדים בישראל ובארה"ב.

בהיבט הטכני, הסבירו החוקרים, תהליך ההדבקה הוא לרוב רב-שלבי, וכולל השגת גישה ראשונית באמצעות דיוג, ולאחר מכן יצירת תקשורת עם שרתי פיקוד ושליטה (C2), ובסופו של דבר – קצירת נתונים או הדבקה בנוזקות נוספות.

Insikt Group has identified a significant increase in cyber threat activity from #GreenCharlie, an Iran-nexus group that overlaps with #MintSandstorm, #CharmingKitten, and #APT42. pic.twitter.com/ssP8Tk9Tpu

— Recorded Future (@RecordedFuture) August 20, 2024

שימוש בכמה טכניקות הסתרה – להסוואת הפעילות 

לפי חוקרי Recorded Future, שחקן האיום רשם מספר רב של דומיינים DDNS מאז מאי 2024, ונצפו גם תקשורות בין כתובות IP שמקורן באיראן לבין התשתיות של צ'רלי הירוק – בין יולי לאוגוסט 2024. עוד נחשף קישור ישיר בין אשכולות של צ'רלי הירוק לבין שרתי C2 המשמשים את GORBLE.

החוקרים ציינו כי ההאקרים עשו שימוש בכמה טכניקות הסתרה, להסוואת פעילותם. כך, הדומיינים שהם רשמו, המקושרים לספקי DDNS, מאפשרים שינויים מהירים בכתובות IP, מה שמקשה על מעקב של החוקרים אחר פעילות הקבוצה.

"פעולות הדיוג של ההאקרים האיראניים מאד ממוקדות", ציינו. "לעתים קרובות הם עושים שימוש בטכניקות הנדסה חברתית, המנצלות אירועים עכשוויים ומתחים פוליטיים".

בשבוע שעבר מיקרוסופט חשפה פעילות בארה"ב של שחקן איום איראני בשם סופת חול אפרסק, הידוע גם בכינוי חתלתול מעודן מזוקק.

בנוסף, סוכנויות ממשל בארה"ב אמרו כי קבוצת פריצה נוספת הפועלת בחסות איראן, חתלתול חלוץ (Pioneer Kitten), שימשה לצורך השגת גישה ראשונית (IAB) במתקפות כופרה שבוצעו נגד ארגונים ממגזרי החינוך, הפיננסים, הבריאות, והביטחון – בארה"ב. זו פעלה בשיתוף צוותי NoEscape, RansomHouse ו-BlackCat.