נחשפה קבוצת האקרים נוספת מאירן

בימים אלו נחשפה עוד אחת מקבוצות התקיפה בסייבר האיראניות, כך על פי חוקרי FireEye. הקבוצה, שכונתה 39APT, תוקפת חברות טלקום וארגוני תחבורה לשם גניבה רחבת היקף של מידע אישי. פעילות הקבוצה היא גלובלית, אבל היא מתמקדת במזרח התיכון. "היא מהווה איום מיידי למדינת ישראל", ציינו החוקרים.

החוקרים ציינו כי הם "עוקבים אחרי פעילות הקבוצה מאז נובמבר 2014. המיקוד של APT39 באיסוף רחב של פרטים אישיים, הוא שמבדיל קבוצה זו מקבוצות איראניות אחרות אשר קושרו למבצעי השפעה, פעילויות סייבר הרסניות ואיומים נוספים. מטרת ההאקרים היא לתמוך במבצעי מעקב וניטור לטובת האינטרסים הלאומיים של אירן".

הפעילויות של קבוצה זו, כתבו החוקרים, "חופפות בחלקן עם קבוצה בשם Chafer. היא עושה שימוש בכלים Cachemoney, Seaweed ובגרסה ספציפית של Powbat. בעוד שיעדי התקיפה של APT39 הם חובקי עולם, הפעילות העיקרית של הקבוצה מתמקדת באזור המזרח התיכון. הקבוצה תוקפת יעדים במגזרי התקשורת, ההיי-טק, והתיירות, כולל חברות IT התומכות בתעשייה זו".

"המיקוד של APT39 במגזר התקשורת ובתעשיית התיירות מצביע על כוונתה לתמוך במבצעי ריגול ומעקב אחר אישים ספציפיים ולאסוף מידע פנימי, כולל פירוט טיסות ונתוני תקשורת. מידע זה כולל מידע אישי של לקוחות העשוי לשמש למטרות מבצעיות המשרתות יעדים אסטרטגיים בעלי חשיבות לאומית. יעד נוסף של הקבוצה הינו השגת נגישות רחבה, כדי ליצור תשתית לפעילות סייבר עתידית"., הסבירו החוקרים.

עוד צוין בדו"ח כי "תקיפת יעדים ממשלתיים מצביעה על כוונה משנית לאסוף מודיעין גיאו-פוליטי, העשוי לסייע לממשלות ולתמוך בתהליכי קבלת החלטות".

"אנו מעריכים בסבירות בינונית כי מבצעי הסייבר של APT39 נועדו לתמוך באינטרסים לאומיים אירניים. זאת, על בסיס ניתוח יעדי התקיפה והמיקוד שלה במזרח התיכון, התשתיות המבצעיות המשמשות את הקבוצה, זמני הפעילות והדימיון לקבוצה איראנית אחרת, בשם 34APT, שחלקים ממנה מוכרים בשם OilRig. יש קווי דימיון בין שתי הקבוצות, כולל השיטות שלהן להפצת כלי התקיפה, השימוש בכלי תקיפה, סגנון בחירת השמות בתשתיות המבצעיות ואף חפיפה ביעדי התקיפה עצמם. יתכן כי שתי הקבוצות משתפות פעולה, ואף חולקות משאבי פיתוח", כתבו החוקרים.

שלבי התקיפה

קבוצת APT39 עושה שימוש בכלים פרי פיתוח עצמי וכן בכלים פומביים, לאורך כל שלבי התקיפה בשלב הראשון, החדירה, נעשה שימוש במיילים מסוג spear phishing , עם דבוקות או לינקים זדוניים המדביקים את מחשב היעד בכלי תקיפה. בתוך כך, הקבוצה רושמת דומיינים המתחזים לשירותי אינטרנט לגיטימיים וכן לארגוני צד ג' הרלוונטיים לעולם התוכן של היעד. הקבוצה גם נוטה לזהות ולנצל שרתי ווב פגיעים אצל ארגוני היעד על מנת להתקין עליהם רוגלות. כמו כן, נעשה שימוש בנתוני אימות לגיטימיים גנובים, על מנת לחדור לממשקי Outlook Web Access (ר"ת OWA) החשופים לאינטרנט.

לאחר החדירה הראשונית לרשת היעד, קבוצת APT39 עושה שימוש בכלי תקיפה פרי פיתוח עצמי, כדי לבסס את אחיזתה ברשת. השלב הבא הוא התפשטות ברשת, שימור אחיזה והשלמת המשימה. זאת, תוך שימוש בפרוטוקול RDP, גם לשם שימור האחיזה במחשבים ברשת. בשלב השלמת המשימה הקבוצה בדרך כלל דוחסת את המידע שנאסף – טרם הזלגתו אל מחוץ לרשת.

"ישנם ממצאים טכנולוגיים המצביעים על כך שקבוצת APT39 נוטה לשמור על חוסן מבצעי גבוה, על מנת לחמוק מגורמי אבטחה", נכתב, "בתוך כך, נעשה שימוש בגרסה ייעודית של Mimikatz על מנת לעקוף מנגנוני אנטי-וירוס. במקרה אחר, לאחר השגת הנגישות הראשונית, בוצע תהליך איסוף נתוני האימות מחוץ לרשת היעד – על מנת לא להקפיץ התרעות במערכות האבטחה של הארגון".

חוקרי FireEye סיכמו ואמרו כי "אנו מאמינים כי המיקוד של APT39 במגזרי התקשורת ובתעשיית התיירות נועד לעקוב אחר אישים ספציפיים ולתמוך במבצעים עתידיים. חברות תקשורת הן יעד אטרקטיבי, כי הן שומרות מידע אישי רב על לקוחותיהן, וכן משום שהן פותחות צוהר לתשתית התקשורת ובכך למגוון רחב של יעדים פוטנציאליים נוספים. תבנית בחירת המטרות של קבוצת APT39 מראה כי האיום אינו מוגבל לארגונים הנתקפים עצמם, אלא גם, ובעיקר, האיום מכוון כלפי קהל הלקוחות שלהם, הכולל אנשים בכל רחבי העולם – וממגוון רחב של מגזרים ותעשיות. הפעילות של APT39 מדגימה את היכולות המבצעיות של הממשל האירני וגורמי הביטחון שלו. היא מראה כיצד הממשל האירני מנצל את מרחב הסייבר ככלי אפקטיבי ובעל עלות נמוכה, יחסית – לטובת איסוף מודיעין על אישים המאיימים על הביטחון הלאומי של משטר האייתולות, וכן על מנת לייצר עליונות אל מול יריבים אזוריים וגלובליים".