נחשפה תשתית ריגול איראנית בסייבר – גנבה מידע מארגונים בארץ ובחו"ל

קבוצת התקיפה האיראנית CopyKittens הגבירה בתקופה האחרונה את פעילותה וחדרה לעשרות ארגונים וחברות בישראל ובעולם, כך על פי מחקר חדש שפורסם היום (ג') על ידי חברת מודיעין הסייבר ClearSky הישראלית, בשיתוף טרנד מיקרו (Trend Micro).

CopyKittens האיראנית, שפעילה מתחילת שנת 2014, תקפה חברות מסחריות, חברות בטחוניות, מוסדות ממשלתיים ואקדמיים בישראל, ארצות הברית וגרמניה.

התקיפה בוצעה באמצעות שתילת נוזקה והשתלטות על מחשבי המותקפים. קבוצת התקיפה CopyKittens הפעילה מגוון נוזקות, אשר אפשרו לגנוב מידע ונתונים מן הארגונים המותקפים באופן חשאי. הקבוצה עומדת מאחורי תקיפה של מוסדות טורקיים, עובדי האו"ם וארגונים רבים בערב הסעודית. גם ירדן היא בין המותקפות.

באחרונה הותקפו כמה חברי הפרלמנט הגרמני, הבונדסטאג, על ידי מתקפת Watering Hole (בור מים) שאותה יזמה CopyKittens.

מתקפת בור מים נעשית באמצעות הדבקת אתר לגיטימי – כמו האתרים של ג'רוזלם פוסט ומעריב, שהודבקו אף הם במתקפה האיראנית. במהלך התקיפה מדביקים את הגולשים לאתר בנוזקה, דרכה משיגים ההאקרים שליטה על מחשבי המותקפים. עוד נעשה שימוש בפרופילים מזויפים בפייסבוק (Facebook), חלקם פעילים כבר שנים.

אייל סלע, מנהל מערך המודיעין ב-ClearSky. צילום: יח"צ

בתקיפות קודמות של הקבוצה הותקפו, בין השאר, משרד ראש הממשלה ומשרד החוץ. במקביל הותקפו מוסדות אקדמיים, חברות ביטחוניות, שגרירויות ומוסדות מוניציפליים. זאת, לצד מתקפות של קבלני משני של משרדי ביטחון, חברות IT וסוכנויות ידיעות מקוונות.

כך, בגל התקיפות הנוכחי, נשלח מייל ובו מוצפנת נוזקה, לעובדי משרד החוץ של צפון קפריסין (הנמצאת תחת חסות טורקית), על מנת להשיג גישה למשרדי ממשלה אחרים במדינה. עוד נחשפו תקיפות של קבוצת ההאקרים האיראנית לשגרירויות של מדינות זקות הפועלות בידשראל, ולשגרירויות ישראליות בחו"ל.

"נסיונות חוזרים ונישנים לפרוץ למוסדות ישראליים"

חוקרי ClearSky כינו את המתקפה המחודשת Wilted Tulip (צבעוני נבול), לדבריהם, "קבוצת CopyKittens היא שחקן פעיל בריגול ותקיפה בעולם הסייבר, המתמקדת בתקיפת יעדים אסטרטגיים".

מבצע Wilted Tulip. צילום: יח"צ ClearSky

תוקפי CopyKittens פיתחו כמה כלים חדשים, אשר סייעו לפריצה ואשר לא היו מוכרים עד כה. "כלים אלו, למרות היותם פחות מתוחכמים, הצליחו לסייע לתוקפים לחמוק מאיתור עד לחשיפתם על ידינו", נמסר.

לדברי אייל סלע, מנהל מערך המודיעין ב-ClearSky, "יכולות לוחמת הסייבר של איראן אינן מתוחכמות כמו של ארצות מערביות".

בועז דולב, מנכ"ל החברה, הוסיף כי "כאשר בוחנים את יעדי התקיפה של CopyKittens, אנו מקבלים תמונה רחבה ומדויקת יותר של האינטרסים והיעדים של הממשל האיראני בסייבר וסוגי המידע שהם מנסים להשיג. הקבוצה, אשר פעילה משנת 2014, נחושה במיוחד בנסיונות החוזרים והנישנים שלה לפרוץ למוסדות ישראליים".

בועז דולב, מנכ"ל ClearSky

חוקרי Clearsky עקבו אחר פעילותם של התוקפים האיראנים מאז אוקטובר 2016 ועד סוף ינואר 2017. המעקב העלה כי הג'רוזלם פוסט, כמו גם כמה אתרי אינטרנט ישראליים נוספים – וכן אתר אינטרנט אחד ברשות הפלסטינית – הוגדרו כיעדי תקיפה על ידי אחת מקבוצות התקיפה האיראניות – CopyKittens.

על פי החוקרים, מדובר במתקפה שבמסגרתה, בכל אחד מהאתרים שנפגעו, התוקפים החדירו שורה אחת של קוד Javascript לספריית Javascript קיימת (ספריה מקומית, אשר נטענת מהשרת המארח את האתר שנפגע). קוד זה טען את Javascript מדומיין זדוני שהיה בבעלות התוקפים. הטענת הנוזקה נעשתה תוך שימוש בשמות הדומים לשמות של אחת הספריות הנפוצות ביותר של Javascript.

לפגוע באתרים באמצעות נוזקה

אתרים נוספים שהותקפו, בנוסף לג'רוזלם פוסט, היו של מעריב (המצוי בידי אותם בעלים), אתר ארגון נכי צה"ל, משרד הבריאות הפלסטיני, ותת-אתר, של דף מידע אישי, באתר אוניברסיטת תל-אביב.

במהלך הניטור אחר קבוצות האקרים הפורומים סגורים, חוקרי ClearSky מצאו כי באוקטובר 2016 נמכרה גישה ללוח הניהול של שרת של חברת אירוח ישראלית. שרת זה אירח, בין השאר, את ג'רוזלם פוסט ואת מעריב. "אנו מעריכים בוודאות בינונית, כי התוקפים רכשו גישה לשרת, על מנת לפגוע באתרים באמצעות הנוזקה", ציינו החוקרים.

בינואר השנה פרסמה חברת הגנת הסייבר דו"ח, שפורסם בלעדית באנשים ומחשבים, בו נכתב, בין השאר, כי "האיראנים ממשיכים לנסות ולחדור לארגונים רבים בישראל באמצעות ניסיונות למשלוח דברי דואר עם צרופה נושאת נוזקה, פריצה לחשבונות מייל ושימוש בחשבונות אלה – לצורך בניית אמון של המותקף והדבקתו בנוזקה. האיראנים שכללו בשנה החולפת את יכולות התקיפה שלהם ולהערכתנו, הפעילות שלהם תגבר ב-2017".

ניסיונות לגניבת מידע על ידי קבוצות תקיפה איראניות, סווגו על ידי החוקרים כטרור סייבר. ב-2015 הם חשפו את הקמפיין RocketKitten ("החתלתול הרקטי") האיראני, שמטרתו העיקרית גניבת מידע מיעדים בישראל. ב-2016 נמשכו מתקפות אלו.

החוקרים עקבו במהלך 2016 אחר גורמי התקיפה השונים, וזיהו חמש קבוצות תקיפה הפועלות מול ישראל. שלוש מהן הן קבוצות תקיפה איראניות: CopyKittens – שערכה את המתקפה האחרונה, RocketKitten ו-OilRig. שתי קבוצות תקיפה פעלו כנראה מעזה: Arid Viper ו-Molerats. "רמתן ההתקפית הטכנולוגית של הקבוצות האיראניות גבוהה יותר מהקבוצות העזתיות", ציינו החוקרים.

מהרשות הלאומית להגנת הסייבר נמסר כי "מדובר באירוע שהתנהל מול מספר מטרות בעולם. הרשות נקטה ונוקטת בשורת צעדים לטובת זיהוי והכלה".

"באירועי סייבר מאמץ התקיפה איננו מסתיים בהכרח בארגון הנתקף ועל כן נדרשת עבודה מאומצת של כלל גורמי ההגנה בארגונים השונים. אנו קוראים גם במקרה זה לארגונים השונים ליישם את הנחיות הרשות כפי שמפורסמות באתר NCSA.gov.il ובמידת הצורך לפנות למוקד הסיוע של הרשות במספר 9344*.