האקרים "נוראים ואדירים" מאיראן תוקפים בישראל ובמזה"ת

עוד קבוצת איום איראנית בסייבר, UNC1860 – נחשפה בשנית. לפי חוקרי מנדיאנט (Mandiant) מבית גוגל (Google), "מדובר בגורם איומים מתמיד ועקבי, אופורטוניסטי, הפועל תחת משרד המודיעין והביטחון האיראני (MOIS)". הקבוצה תקפה יעדים רבים במזרח התיכון, וגם בישראל. ייחודה של הקבוצה, שהחוקרים כינו אותה "מטילת אימה, נוראה, שקשה להתמודד איתה", הוא בפיתוח ואיסוף מערכי כלי פריצה וריגול מיוחדים, עם דלתות אחוריות. אלו, לדעת החוקרים, תומכים בכמה מטרות, כשהעיקרית – לספק גישה ראשונית לרשת הקורבן, ולאחר מכן להתבסס בה באופן מתמשך.

לפי החוקרים – סתיו שולמן, מתן מימרם, שרה בוק ומארק לכטיק – "המקצוענות והמיקוד של חברי הקבוצה מקבילים ל-Srouded Snooper, Scarred Manticore ו-Storm-0861 – כולם גורמי איומים מאיראן שהתפרסמו כשתקפו במזרח התיכון והתמקדו בארגוני תקשורת וממשל".

בעבר דווח, כי קבוצות אלה גם סיפקו גישה ראשונית למבצעי שיבוש הרסניים בסייבר, שכוונו נגד ישראל בסוף אוקטובר 2023, ונגד אלבניה ב-2022. החוקרים ציינו, כי לא בטוח שחברי UNC1860 היו מעורבים במתקפות אלו. "עם זאת, זיהינו כלי עבודה מיוחדים של UNC1860, כולל בקרי נוזקות, שנועדו להקל על פעולות המתקפה".

לפי המחקר, להאקרים האיראנים יש "אוסף של דלתות אחוריות פסיביות, שנועדו להשיג אחיזה חזקה ברשתות הקורבנות וליצור גישה מתמשכת לטווח ארוך". כך, כמה מהדלתות האחוריות הללו כללו תוכנת אנטי-וירוס איראני לגיטימית, שעברה הנדסה הפוכה, וכך הפכה לחלק ממערך התקיפה, תוך שהיא נחזתה להיות התקן בקרה של חלונות (Windows). "יכולות ההתחמקות מזיהוי הללו מוכיחות ש-UNC1860 הוא שחקן איום אדיר, שתומך ביעדים איראניים שונים, מריגול ועד מתקפות רשת. ככל שהמתחים ממשיכים לגדול במזרח התיכון, אנו מאמינים שהמיומנות של שחקן זה היא נכס בעל ערך עבור מערך הסייבר ההתקפי האיראני, העונה ליעדים מתפתחים, ככל שהצרכים משתנים".

החוקרים גילו כי במסגרת תפקידם של חברי הקבוצה – להשיג גישה ראשונית למערכות ולרשתות הקורבן – הם פיתחו והפעילו שני בקרי נוזקה מותאמים אישית, המופעלים על ידי ממשק משתמש, המספקים יכולות מעקב וגישה מרחוק לרשתות הקורבנות.

לכן, הסיקו החוקרים, "נתון זה, יחד עם פרסומים ועדויות נוספות – מצביע על כך שהקבוצה משתפת פעולה עם קבוצות פריצה נוספות בסייבר הפועלות תחת משרד המודיעין והביטחון האיראני, כגון APT34".

ב-2020, החוקרים גילו כי חברי קבוצת UNC1860 השתמשו ברשת של אחד הקורבנות, כ"משטח היערכות" – לביצוע פעולות סריקה וניצול נוספות, נגד קורבנות אחרים, שאינם קשורים לקורבן הראשוני שהותקף. אז ההאקרים נצפו סורקים כתובות IP שרובן בסעודיה. בין השנים 2019 ו-2020 החוקרים הבחינו ב"פעפוע דו-כיווני": ארגונים שנפגעו על ידי האקרים מ-APT34 נפגעו בעבר על ידי UNC1860 – ולהפך. עוד הם חשפו, כי שתי קבוצות ההאקרים תקפו מטרות בעיראק.

במרץ 2024, מערך הסייבר הלאומי בישראל הנפיק התרעה על כמה קבוצות תקיפה מדינתיות שפועלות במרחב הרשת הישראלי. לפי המערך, "הקבוצות תוקפות בעיקר ארגונים ממגזרי האקדמיה, השלטון המקומי וחברות MSP. מטרת המתקפות היא גרימת נזק, CNA (ר"ת Attack Network Computer), שמתבטא במחיקת המידע על העמדות והשרתים המותקפים. כאשר התקיפה היא נגד חברת MSP, התוקפים מנסים למחוק את המידע של מספר רב ככל האפשר של לקוחותיה… יש לנו מידע על עשרות ארגונים שנפגעו מפעולות תקיפה אלה, רובם כחלק מתקיפת שרשרת אספקה". החוקרים סיימו בציינם כי "האינדיקטורים הטכניים הייחודיים מצביעים כי היו אלה חברי UNC1860".