מחקר: איראן הסיטה משאבי תקיפה בסייבר לעבר ישראל

כמה מקבוצות התקיפה האיראניות בסייבר הסיטו את המשאבים שלהן באופן מובהק מ-"ייעודן" המקורי לעבר ישראל – כך עולה ממחקר של ESET, שפורסם היום (א'). מומחים העלו בפני אנשים ומחשבים את החשש שעובדה זו עלולה לרמז לכך שאם, וסביר יותר להניח שכאשר, תגיע המתקפה האיראנית הפיזית על ישראל כנקמה על שני החיסולים, בביירות ובטהרן – היא תלווה במתקפת סייבר של אותם גופים.

ענקית אבטחת המידע ESET פרסמה דו"ח שמסכם את פעילות קבוצות התקיפה בעולם מאוקטובר 2023 ועד לסוף מרץ 2024. נכתב בו כי "לאחר מתקפת החמאס על ישראל באוקטובר 2023, ובמהלך המלחמה המתמשכת בעזה, זוהתה עלייה משמעותית בפעילות מצד קבוצות תקיפה המזוהות עם איראן. הקבוצות MuddyWater ו-Agrius חדלו מההתמקדות שלהן בריגול סייבר ותקיפה באמצעות כופרות. הן עברו לאסטרטגיות אגרסיביות יותר, שכוללות מתקפות מסוג סחר בגישה לרשתות (Access Brokering). במקביל, חלה ירידה בפעילותן של OilRig ו-Ballistic Bobcat – מה שעשוי להצביע על שינוי אסטרטגי לפעולות בולטות יותר, שמכוונות נגד ישראל".

"הפעילות המוגברת נגד ישראל", ציינו החוקרים, "התמקדה בשני עיסוקים עיקריים: תיווך גישה, משמע – השגת גישה למערכות הקורבן על ידי גניבת אישורי גישה; וכן מתקפות מתמשכות, שמטרתן לפגוע בארגונים, ולאחר מכן לבייש אותם ולפגוע במוניטין שלהם ברשתות החברתיות, כחלק ממסע תודעה-השפעה". כך, החוקרים זיהו ירידה ניכרת בהיקף וביעילות המתקפות ה-"רגילות" של MuddyWater לטובת התמקדות בהשגת גישות.

"מאז נובמבר, OilRig שקטה בצורה יוצאת דופן"

לדברי חוקרי ESET, "ההתמקדות בתיווך גישה, בשילוב נוזקות שמטרתן השפעה, הובילו, ככל הנראה, לירידה בהיקף הריגול בסייבר. ראינו ירידה בפעילות OilRig, החל בנובמבר 2023, ושיא הירידה היה בדצמבר. מאז, OilRig הייתה שקטה בצורה יוצאת דופן, כנראה כדי לתקוף גופי ממשל וגורמים במזרח התיכון – עם מיקוד כבד בישראל".

החוקרים ציינו כי דפוס פעילות דומה אפיין את Ballistic Bobcat, שעד אז סיפקה לשוק נוזקות באופן קבוע, וצמצמה את פעילותה זו בספטמבר, וחדלה ממנה באוקטובר. גם Agrius, שבעבר הפעילה מוחקי נתונים ("מגבים"), כופרות ופעולות המשלבות את שתי דרכי המתקפות סטתה מפעילותה, ועברה גם היא להשיג אישורי גישה לקורבנות".

הם הוסיפו ש-"גורמי האיום האיראניים העבירו את המיקוד שלהם בסייבר, כדי לתמוך במאמצים לתקוף את ישראל במתקפות רועשות, ונמנעו – במידה רבה – מפעולות שקטות יותר. כך, חברי MuddyWater פעלו להשגת אותם אישורי גישה, וכאשר השיגו אותם, הם הפעילו מגוון של כלים וטכניקות, כדי לטשטש את העובדה שהם השתלטו מרחוק על מחשבי הקורבנות, עם שרתי C&C (שליטה ובקרה)".

מי עוד תקפו והיכן?

המחקר, כאמור, עוסק באיומים ובמתקפות בכל העולם – ולא רק באזורנו. עולה ממנו כי קבוצות המזוהות עם רוסיה התרכזו בריגול באיחוד האירופי והמשיכו במתקפות נגד אוקראינה. החוקרים ציינו את "מבצע Texonto", שעסק בהפצת מידע מטעה והשפעה פסיכולוגיות (PsyOp), שאותו הם חשפו. במבצע הפיצו המארגנים מידע שגוי בנוגע למחאות שקשורות בבחירות ברוסיה במטרופולין חרקיב שבמזרח אוקראינה, ועוררו אי ודאות בקרב אוקראינים באוקראינה ומחוצה לה.

עוד ציינו החוקרים ניצול של חולשת יום אפס ב-Roundcube על ידי קבוצת Winter Vivern, המזוהה עם בלרוס. קמפיין נוסף בוצע על ידי SturgeonPhisher – קבוצה שמזוהה עם קזחסטן, והיא עשתה זאת במזרח התיכון.

לקראת סיום, אי אפשר בלי שתי המדינות מהמזרח – סין וצפון קוריאה! כמה גורמי איום המזוהים עם סין ניצלו חולשות אבטחה במכשירים המיועדים לציבור, כמו רשתות VPN ופיירוולים, וכן בתוכנות כגון Confluence ו-Microsoft Exchange Server, כדי לקבל גישה ראשונית למטרות בתחומי עיסוק שונים. החוקרים ציינו את דליפת הנתונים מחברת שירותי האבטחה הסינית I-SOON (אנקסון): "קבלן סיני זה אכן מעורב בריגול סייבר. ESET עוקבת אחר חלק מפעילויות החברה הזאת, כחלק מקבוצת FishMonger. חשפנו בדו"ח קבוצת APT סינית חדשה, CerenaKeeper, שיש לה מאפיינים ייחודיים, אך היא עשויה להיות קשורה לקבוצת Mustang Panda".

באשר לצפון קוריאה, קבוצות המזוהות איתה המשיכו לתקוף חברות בתחום התעופה וההגנה ואת התעשייה ה-"פייבוריטית" על השליט שלה, קים ג'ונג און – תעשיית המטבעות הדיגיטליים.