אקסנצ'ר: אירן תסלים את פעילות הסייבר שלה

אירן היא מדינה ששמה עולה לעתים קרובות ככזו שמבצעת פעילות רבה בתחום הסייבר, במיוחד זה ההתקפי. חוקרי אקסנצ'ר מעריכים שהיא עומדת להסלים את המתקפות הללו ולהגדיל את מספרן.

בדו"ח חדש שהוציאה חברת הייעוץ מתארים חוקריה חמישה איומי מפתח סייבריים על העולם, כשזה האירני עומד בראש. "איום הסייבר האירני הוא אמיתי", כתבו החוקרים. "מדינה זו נתפסת ככוח סייבר מתעורר, וראיות חדשות מצביעות על תוקפים המבוססים בה, כמו גם על קבוצות האקרים שפועלות בחסות המדינה, שמרחיבים את הפעילויות הזדוניות שלהם ומגדילים את יכולותיהם בתחום".

כך, ציינו באקסנצ'ר, "האנליסטים שלנו זיהו כי קבוצת הריגול בסייבר Pipefish ממשיכה להיות פעילה מאוד ושיכללה את השימוש שלה בכלי פריצה מתקדמים. הקבוצה פועלת נגד מטרות במזרח התיכון, עם מיקוד בחברות אנרגיה – בערב הסעודית, בקטאר ובאיחוד האמירויות הערביות, והיא עורכת מבצעי מעקב וריגול. באחרונה נחשף כי לנוזקה של הקבוצה יש יכולת לפיקוד, שליטה ובקרה על מחשבי הקורבנות מרחוק, לטובת הורדת קבצים וגניבתם".

כופרות וביטקוין בכפיפה אחת – גם מאירן

אחת התופעות שמזהים החוקרים היא שאירן מצטרפת ואף מבססת את פעילותה בשילוב התחומים החמים של מתקפות כופרה שבמסגרתן נדרש תשלום בביטקוין. "זוהו פעולות של משלוחי כופרות מאירן, המצביעות על כך שישנם פושעי רשת אירניים הפועלים בתחום", נכתב בדו"ח. "כמו עמיתיהם בעולם, הם תוקפים ארגונים ברחבי הגלובוס ודורשים את תשלום הכופר בביטקוין, וכן מנצלים מחשבי קורבנות לכריית מטבעות קריפטוגרפיים". בשנתיים האחרונות זיהו החוקרים חמש כופרות חדשות, פרי פיתוח של האקרים מאירן. השיוך למדינה זו, מסתבר, לא היה מסובך: מסרים בפרסית וקישור למחשבים שנמצאים ברפובליקה האסלאמית.

איומים נוספים המצוינים בדו"ח הם החרפת המתקפות על שרשרת האספקה; גידול בהיקף המתקפות על תשתיות קריטיות, בדגש על תשתיות אנרגיה; ומציאת דרכים חדשות שבשימוש בהן פושעי הרשת מגדילים את הרווח הכספי שהם גורפים, בין השאר תוך גידול בהיקף המתקפות המתקדמות והמתמשכות בעקביות (APT).

המתקפות האירניות בסייבר ממשיכות להתפשט – גם נגד ישראל

הדו"ח של אקסנצ'ר מהדהד עם דו"חות מחקר של חברות אבטחה נוספות שאירן שוב מככבת בהם כמי שממשיכה להיות פעילה במתקפות סייבר. ארבעה גופי מחקר שונים מצאו את טביעות אצבעותיה של טהרן בתחום.

צוות חוקרי יחידה 42, יחידת מודיעין הסייבר של פאלו אלטו, זיהה פעילות מחודשת עם הנוזקה הוותיקה OilRig, שב-2016 הופעלה על ידי אירן ופגעה בחברות ממשלתיות במזרח התיכון, באירופה ובישראל. על פי החוקרים, בחודשים מאי ויוני השנה שוגרה הנוזקה – הידועה אף בכינויים PT34 ו- Helix Kitten – בביצוע פישינג, באמצעות מיילים שנחזו להיראות כאילו הם באים מסוכנות ממשלתית במזרח התיכון. יחידה 42 כבר הצליחה לקשר בעבר את הנוזקה לאירן.

על פי ClearSky, "אחד האיומים הבולטים ביותר על חברות וארגונים במרחב הסייבר בישראל הוא תקיפות מאירן. המוטיבציה והיכולות של האירנים במרחב זה נמצאות בקו שיפור, כשמולם ניצב מערך הגנה ישראלי שכולל כמה שכבות. השכבות הללו מצליחות לאתר ולנטרל את מרבית התקיפות".

עוד ציינו חוקרי חברת הגנת הסייבר הישראלית כי "קבוצת OilRig – כינוי שמאחוריו מסתתרת פעילות של משמרות המהפכה או ארגון מודיעין מקביל באירן – מתכננת ומבצעת באופן שוטף תקיפות על מגוון יעדים בישראל ובעולם. הקבוצה מתכננת, מפתחת ומפעילה שיטות וכלי תקיפה באופן עצמאי – כשהיא משלבת כלי תקיפה ידועים, חלקם מבוססי קוד פתוח, בכלים שלה".

"הקבוצה פעילה מאוד מול חברות וארגונים בישראל, כשמטרתה הראשונית היא איסוף מודיעין ערכי על ישראל. אולם, מרגע שחדרה לחברה או לארגון, תמיד קיימת אפשרות שתבחר לבצע בה או בו תקיפת הרס ונזק", נטען בדו"ח.

גם בסימנטק זיהו קמפיין ריגול חדש, של קבוצה בשם Leafminer, שאף מקורו הוא, ככל הנראה, באירן. הרוגלה פגעה עד כה בשורה ארוכה של גופים ממשלתיים ועסקים ברחבי המזרח התיכון, ביניהם בישראל, ערב הסעודית, מצרים ופקיסטן.

"Leafminer היא קבוצה פעילה מאוד, שמתמקדת בפגיעה בארגונים ברחבי המזרח התיכון. נראה שהקבוצה, שמקורה באירן, להוטה ללמוד ולהשתמש בכלים ובטכניקות שבהם משתמשים תוקפים מתקדמים יותר. ההצלחה הדלה שלהם מעידה על חוסר ניסיון מצדם", כתבו חוקרי ענקית אבטחת המידע.

סימנטק פרסמה כמה ראיות לאישוש הקביעה שמקור הקבוצה באירן, ביניהן רשימה שכתובה בפרסית של 809 מטרות ושרת שהכיל 112 קבצים שקשורים למתקפות. החברה ציטטה מחקר של חברה אחרת, MagicCoder, שמייחס את הרוגלה לפורום ההאקרים האירני Ashiyane ולקבוצת ההאקרים האירנית צבא השמש (Sun Army). הרוגלה פגעה ב-28 מערכות בערב הסעודית – האויבת המרכזית של אירן, בשמונה מקרים בלבנון, כמו גם במערכות בישראל ובכוויית. המטרות כללו, בין השאר, סוכנות מודיעין לבנונית ומתקנים רפואיים בערב הסעודית.