נחשפו פרטים על קבוצות סייבר איראניות שתקפו בישראל

מבוכה לאיראן: נחשפו פרטי מידע על זהותם של התוקפים שעומדים מאחורי קבוצות ההאקרים MuddyWater ו-Darkbit, שמקושרות למשטר בטהרן ושתקפו את ישראל, כמו גם מדינות אחרות. הפרסום בוצע על ידי איראן אינטרנשיונל – ערוץ תקשורת אופוזיציוני למשטר, שפועל מלונדון.

באיראן אינטרנשיונל ציינו שמדובר בשתי קבוצות תקיפה בסייבר, שפועלות בחשאי תחת גוף במשרד המודיעין והביטחון האיראני, MOIS – זרוע של מנגנון הביטחון, שמתמקדת במעקב פנימי אחרי מתנגדי המשטר ופעילים נגדו בחו"ל. ההאקרים שנמנים על שתי הקבוצות פועלים מבניין המשרדים ג'לאל, ששוכן ברחוב פירוזי בטהרן. חבריהן מנסים לתקוף ופורצים למערכות IT במדינות רבות ברחבי הגלובוס. לפי הדיווח, ההאקרים תקפו מטרות בישראל, והטכניון ביניהן, טורקיה, מצרים, אזרבייג'ן, איחוד האמירויות, עיראק, איטליה, אלג'יריה, ערב הסעודית ומדינות נוספות.

אחד הגילויים החדשים בפרסום הוא שלצד מתקפות נגד ישראל ויריבות נוספות של איראן, ההאקרים פעלו גם נגד מדינות ידידותיות לרפובליקה האסלאמית, דוגמת רוסיה, עומאן וקטאר – במטרה לרגל ולקבל מידע מודיעיני על בכירים ואישי מפתח וכן על תשתיות במדינות אלה.

MuddyWater

הקבוצה הראשונה, MuddyWater (מים עכורים), ידועה בשלל כינויים נוספים, ובהם TEMP.ZAGRO, מרקורי, חתלתול סטטי, Mango Sandstorm ו-SeedWorm. היא נמצאת על הכוונת של מקצועני האבטחה מזה שנים רבות, ויש לה היסטוריה של תקיפת מטרות ישראליות ואחרות. ב-2017 נחשף הקמפיין המשמעותי הראשון שלה, של מתקפות פישינג נגד יעדים בעיראק ובערב הסעודית. בישראל, פרופרו וקלירסקיי חשפו ב-2020 ניסיונות של חברי הקבוצה לחדור באמצעות נוזקות למערכות מחשוב של ארגונים. ב-2021 דיווחה סימנטק על קמפיין בן חצי שנה של חברי הקבוצה נגד מפעילות טלקום וחברות שמספקות שירותי IT במדינות שונות במזרח התיכון ובאסיה, בהן ישראל.

לפי הפרסום הנוכחי, על המדינות שהותקפו על ידה נמנות ישראל, ארצות הברית, רוסיה, אוסטריה, ארמניה, טורקיה, אזרבייג'ן, פקיסטן, מצרים, ירדן, עומאן, קטאר, בחריין, איחוד האמירויות, עיראק, ערב הסעודית, טנזניה, מאלי וסודן. היעדים שהותקפו היו גופי ממשל, צבא וביטחון, ארגוני חינוך ועוד. שלושה מחברי הקבוצה – מוחמד חוש לאחן, יונס ואליאאי ומוחמד רזה חורוש – מתפקדים כאנשי קשר בין ההאקרים למשרד המודיעין של משמרות המהפכה.

Darkbit

קבוצת ההאקרים השנייה היא Darkbit, והיא ממוקדת בעריכת מתקפות נגד מטרות בישראל. זו פועלת לצד, או תחת, קבוצת MuddyWater. העומד בראשה הוא אמיר-חוסיין פארד סיהפוש, הידוע גם בכינוי, או שמא זהו שמו הבדוי, פארסה סאראפיאן. הוא פועל לגיוס התוקפים לשורותיה עוד כאשר הם עוברים הכשרות בתחומי סייבר התקפי והגנת סייבר. בין הבכירים הנוספים שנחשפו בפרסום של איראן אינטרנשיונל כחברי הקבוצה: סייד עלי אמאמי, פוריה קאזם באדי פרהאני, אחמד-רזה איראני, אמין דאדשי וסייד חוסיין סיאדת.

בתחילת 2023, ההאקרים הללו ערכו מתקפת סייבר נגד הטכניון בחיפה. שלושה שבועות לאחר הפריצה, חקירה משותפת של מערך הסייבר הלאומי והמוסד האקדמי העלתה כי חברי הקבוצה הם אכן איראנים. החקירה העלתה שהקבוצה ערכה מתקפת כופרה, שבמסגרתה היא השתמשה בנוזקה שמיועדת להצפנה של מערכות הפעלה.

"המטרה: להשיג דריסת רגל במערכות המחשוב של יריבי איראן"

בינואר 2022 פרסמה סייברקום, מפקדת פיקוד הסייבר של צבא ארצות הברית, יותר מ-12 דגימות של נוזקות. לדבריה, "הדגימות מייצגות כלי קוד פתוח שונים ששחקני מודיעין איראניים משתמשים בהם ברשתות ברחבי העולם".

שרה ג'ונס, אנליסטית בכירה למודיעין איומים במנדיאנט, כיום מבית גוגל, אמרה בעבר כי "איראן מפעילה צוותים רבים שמבצעים ריגול בסייבר, מתקפות סייבר ופעולות לאיסוף מודיעין ומידע. שירותי הביטחון שנותנים חסות לשחקנים האלה, ה-MOIS ומשמרות המהפכה, משתמשים בהם כדי להשיג דריסת רגל במערכות המחשוב של היריבים והמתחרים של איראן בכל רחבי העולם".

ב-ESET ציינו כי קבוצת MuddyWater היא "שחקן פעיל איראני שמשתמש בדלתות אחוריות מבוססות סקריפטים וכלי קוד פתוח".

בתחילת השנה חברי הקבוצה טענו שהם תקפו את מערכות המחשוב של עיריית תל אביב-יפו, מערך הסייבר הלאומי והמחלקה לבריאות הנפש במשרד הבריאות, אולם לא הציגו ראיות לכך.