החתול הפרסי שב לזירת הסייבר

קלירסקיי הישראלית, שכבר חשפה כמה וכמה מתקפות סייבר איראניות על גורמים ישראליים, עושה זאת שוב. על פי חוקרי החברה, מתחולל גל נוסף של מתקפות סייבר איראניות, תוך שכלול טכניקות התקיפה שלהן.

בספטמבר האחרון מצאו חוקרי החברה כי המטרה של גל המתקפות היא להשיג מידע ולהשתלט על המחשבים של חוקרי אקדמיה ישראליים המתמחים באיראן, אישי מפתח ישראליים וגולים איראניים בעולם. הקמפיין, שנערך ביולי השנה, כוון נגד חוקרי אקדמיה העוסקים באיראן, ויושבים בארה"ב, המזה"ת וצרפת.

הגל הנוסף של מתקפות אלו, ציינו חוקרי קלירסקיי, נעשה תוך מינוף וקטורים טכנולוגיים, פעילות חדשה של התחזות ושימוש בטכניקות של היפוך שליטה, IOC.

"עד באחרונה", כתבו החוקרים, "איראן לא הייתה ידועה כמדינה הנוטה להתערב בבחירות ברחבי העולם. היסטורית, סוג זה של פעילות סייבר יוחס בעיקר לקבוצות האקרים רוסיות, דוגמת APT28, המכונה הדב המגונדר (Fancy Bear). היא עלתה לכותרות כאשר פרצה לתיבות הדואר של הוועידה הלאומית הדמוקרטית בארה"ב, ואף התערבה, או ניסתה להתערב, בבחירות בארצות הברית, גרמניה וצרפת, בכך שתקפה פעילים בקמפיינים של הבחירות בארצות הללו".

אלא שהודעה של מיקרוסופט מחודש אוקטובר השנה "חושפת בראשונה כי החתלתול המקסים (Charming Kitten), קבוצת APT איראנית, ממלאת תפקיד בתחום מתקפות הסייבר, לשם הפרעה להליכים דמוקרטיים", כך ציינו החוקרים.

ב-4 באוקטובר מיקרוסופט הודיעה כי קבוצת ההאקרים Phosphorus ( שפירושו 'זרחן'), המכונה גם החתלתול המקסים, ניסתה לתקוף חשבונות דוא"ל של פעילים בקמפיין הנשיאותי בארה"ב, כמו גם פקידי ממשל אמריקנים, בהווה ובעבר, עיתונאים המסקרים פוליטיקה עולמית ואיראנים בולטים החיים מחוץ לאיראן. "מתקפות חנית-דיוג (spear-phishing) אלו", כתבו חוקרי קלירסקיי, "נערכו על ידי החתלתול המקסים, באוגוסט ובספטמבר. כך אנו מעריכים ברמה בינונית-גבוהה של סבירות, על בסיס הגילוי של מיקרוסופט, בצירוף הממצאים שלנו".

שיטות דיוג-חנית חדשות

ההערכה של חוקרי קלירסקיי מתבססת על כמה מאפיינים: הפרופילים של הקורבנות הם זהים – בשני המקרים, הקורבנות היו אנשים המעניינים את המשטר באיראן, כמי שפועלים בתחומי המחקר האקדמי, זכויות אדם, גורמי אופוזיציה המתנגדים למשטר באיראן, דוגמת NIAC (המועצה הלאומית איראנית-אמריקנית) – ועיתונאים. "מאפיינים נוספים, לצד חפיפה בלוחות זמנים של המתקפות", כתבו החוקרים, "הם וקטורים דומים של מתקפה – התחזות לשחזור סיסמא לדוא"ל המשני השייך לקורבנות בשני המקרים; שימוש במתקפת חנית-דיוג בדואר האלקטרוני, על מנת לפגוע בקורבנות באמצעות שירותים של מיקרוסופט, גוגל ויאהו".

"במחקר שערכנו", כתבו, "זיהינו מתקפת חנית-דיוג באמצעות מסרונים, בהם ההאקרים אספו את מספרי הטלפון של הקורבן הרלוונטי. כך, גם מיקרוסופט מצאה שהחתלתול המקסים אוסף מספרי טלפון של הקורבנות, לטובת שחזור סיסמאות ואימות דו-גורמי – לכאורה. זאת, כדי להשיג שליטה על חשבונות הדואר האלקטרוני שלהם". החוקרים סיימו בציינם כי במהלך המחקר שלהם, הם חשפו ארבע שיטות דיוג-חנית חדשות המשמשות את קבוצת ההאקרים האיראנית.