האקרים איראניים מנצלים חולשות במיקרוסופט אופיס לתקיפות סייבר

נחשפו טקטיקות תקיפה חדשות של קבוצת הסייבר MuddyWater, המקושרת למודיעין האיראני.

על פי קלירסקיי הישראלית, שחשפה אותן, הקבוצה – שפרטים משמעותיים אודותיה ואודות קבוצות אחרות הודלפו באחרונה ברשת טלגרם, לא רק שהמשיכה בפעילותה לאחר החשיפות האחרונות – אלא גם עדכנה את שיטות התקיפה שלה. אלו הופכות מתוחכמות יותר.

על פי חוקרי קלירסקיי, בשיטת התקיפה הנוכחית, התוקפים האיראנים מצליחים לנצל חולשות אבטחה בתוכנות מיקרוסופט אופיס הפופולריות. הם מתחזים לגורמים רשמיים ומפתים את הקרובנות, יעדי התקיפה, לפתוח מסמכי Word מזוייפים, הכוללים גם את הנוזקה האיראנית. בבדיקה שערכו החוקרים, רק שלושה מתוך 64 מנועי אנטי וירוס הצליחו לזהות את הנוזקה. תקיפות הסייבר שזיהו בחברה התבצעו בעיקר כנגד מדינות וארגונים במרכז אסיה, אולם יצויין כי בעבר זוהו תקיפות שונות מצד MuddyWater גם בישראל.

השלב הראשון – התחזות למסמכים רשמיים ושלב ה Preview. צילום מסך

טכניקת התקיפה מורכבת משני שלבים עיקריים. הראשון, שלב הפיתוי, במסגרתו מתבצעת התחזות לגופים ממשלתיים ופרטיים, וזיוף מסמכים רשמיים, הכוללים לוגואים ותכתובת רלוונטיות. השלב השני הוא פנייה, באמצעות קובץ נגוע הנראה כמסמך Word רשמי ואמין, לשרתים (שבחלקם פרוצים) והורדת קבצים נגועים. כאשר יעד התקיפה מעוניין לפתוח את המסמך, תופיע הודעת שגיאה – הקוראת לו לשחזר את המסמך, עם הקשה על אישור הבקשה. אז הנוזקה האיראנית מותקנת בשרת של יעד התקיפה.

השלב השני – בקשה שחזור המסמך ושתילת תוכנת הנוזק. צילום מסך

לדברי בועז דולב, מנכ"ל קלירסקיי, "בחודשים האחרונים הייתה סדרת הדלפות וחשיפות נרחבות ברשת הטלגרם על פעילות קבוצות סייבר איראניות שונות, כולל על קבוצת MuddyWater. בעקבות החשיפה, הורגשה תסיסה בתחום. החשיפות הללו פגעו ביכולות של קבוצות תקיפה איראניות – אך הן לא השפיעו על קבוצה זו שהמשיכה בפעולותיה".

על פי דולב, "הטכניקה החדשה שזיהינו מורכבת משילוב יכולות מתוחכמות, החל מיכולות הנדסה חברתית, בעזרתן הצליחו להתחזות ולזייף מסמכים רשמיים, ועד יכולות טכניות של ניצול חולשות אבטחה ושתילת נוזקה. אמנם התקיפות שזיהנו התבצעו בעיקר במרכז אסיה, אך אנחנו יודעים כי הקבוצה כבר תקפה בישראל וקיימת אפשרות ריאלית שהן ינצלו את וקטורי התקיפה החדשים גם מול ארגונים בישראל".