"הפתעה": האיראנים שוב תוקפים את ישראל בסייבר

חוקרי קלירסקיי חשפו את קמפיין "חתלתול שועלי", שמכוון בין היתר לגופים ישראליים ● לדבריהם, "מדובר באחד ממערכי התקיפה הרחבים והמקיפים שהפעילה איראן עד כה"

ישראל - אחד היעדים הבולטים על מפת הסייבר של האיראנים.

האיראנים שוב תוקפים את ישראל בסייבר: במהלך הרבעון האחרון של 2019 גילה צוות המחקר של קלירסקיי קמפיין תקיפה איראני רחב היקף, שמתנהל בשלוש השנים האחרונות נגד עשרות רבות של ארגונים וחברות בארץ ובעולם – כך מסרה החברה היום (ב'). במסגרת הקמפיין, הצליחו התוקפים להשיג גישה לרשתות של חברות וארגונים רבים ממגזרי ה-IT, התקשורת, הנפט והגז, התעופה, הביטחון והחשמל – בישראל ומחוץ לה.

החוקרים ציינו כי במהלך המחקר "מצאנו חפיפה בסבירות בינונית-גבוהה של תשתית התקיפה לפעילות של קבוצת התקיפה האיראנית APT34 – OilRig. בנוסף, זיהינו בסבירות בינונית קשר בין קמפיין זה לקבוצות APT33 – Elfin ו-APT39 – Chafer. אנחנו מכנים את הקמפיין בשם Fox-Kitten (חתלתול שועלי)".

על פי החוקרים הישראלים, "אנחנו מעריכים בסבירות בינונית כי קבוצות התקיפה האיראניות APT33 ו-APT34 פעלו יחד, לפחות מאז 2017, באמצעות תשתית זו, מול מספר רב של חברות בישראל ובעולם. הקבוצות פעלו בניסיון לבסס דרכי גישה אל החברות המותקפות, לגנוב מהן מידע או מודיעין ערכי, לשמר לאורך זמן את האחיזה בהן, ולנסות להדביק דרכן חברות נוספות, בתקיפות שרשרת אספקה".

התקיפה – בעיקר באמצעות כלים מבוססי קוד פתוח

"פעילות קבוצות התקיפה האיראניות התבצעה תוך שימוש במגוון כלי תקיפה, רובם מבוססי כלי קוד פתוח וחלקם – מפיתוח עצמי", נכתב בדו"ח. החדירה לארגונים המותקפים נעשתה, ברוב המקרים, באמצעות ניצול של חולשות בשירותי גישה מרחוק של VPN שונים, בתוך זמן קצר מרגע פרסומן (1-Day ). המדובר בשירותים דוגמת Pulse Secure VPN ,Fortinet VPN ו-Global Protect של פאלו אלטו.

מקור: קלירסקיי

מקור: קלירסקיי

עוד נודע שאחרי שהתוקפים השיגו אחיזה ביעד המותקף, הם ניסו לשמר ולהסתיר את הקשר לארגון, באמצעות פתיחת ערוץ תקשורת המתבסס על שימוש ב-RDP (פרוטוקול המשמש לחיבור מרחוק – י"ה), על מנת להסתיר את התקיפה מניטורי רשת על גישת RDP. התוקפים ביצעו תהליך שוטף של בחינה, סינון ואיתור מידע רגיש וערכי בכל אחת מהחברות אליהן חדרו. המידע הערכי נשלף ונשלח חזרה לתוקפים לצרכי איסוף מודיעין, ריגול או הדבקה נוספת של רשתות מקושרות.

"הקמפיין שנחשף הוא, להערכתנו, אחד ממערכי התקיפה הרחבים והמקיפים אשר הפעילה איראן עד כה", ציינו חוקרי קלירסקיי. "מלבד נוזקות, הקמפיין כולל תשתית שלמה שנועדה לבסס, לאורך תקופה ארוכה, יכולת שליטה ונגישות מלאה מול היעדים שנבחרו על ידי התוקפים. הקמפיין שנחשף שימש כתשתית איסוף מודיעין, אך יכול לשמש גם כתשתית להפצת נוזקות הרס והפעלתן, דוגמת ZeroCleare או Dustman, המזוהות עם APT34 ועם קבוצת תקיפה איראנית נוספת, שלהערכתנו זוהי APT33".

לדברי החוקרים, "וקטור החדירה המשמעותי והמוצלח ביותר של קבוצות התקיפה האיראניות בשלוש השנים האחרונות הוא באמצעות ניצול חולשות במערכות גישה מרחוק לארגונים, בעיקר גישה מרחוק של עובדים, צוותי סיוע וחברות חיצוניות. הוא נעשה תוך עקיפת מערכי ההגנה הקיימים וגישה ישירות למערכות ה-VPN וה-RDP לצורך חדירה והשתלטות על ארגונים וחברות". הם הוסיפו כי "וקטור חדירה זה, שבו מנוצלת גישה ישירה 'אחורית' למערכות הליבה של ארגונים, משמש לא רק את האיראנים. הוא הפך לווקטור מרכזי גם של קבוצות פשיעת סייבר, כופרה וקבוצות תקיפה מדינתיות אחרות. אנחנו מעריכים שווקטור תקיפה זה יהיה מרכזי גם השנה".

"האיראנים מתמקדים בחברות IT"

בועז דולב, מייסד ומנכ"ל קלירסקיי, אמר לאנשים ומחשבים כי "קבוצות התקיפה האיראניות שיפרו בשנתיים האחרונות את היכולות הטכניות שלהן והן מסוגלות לנצל במהירות חולשות ידועות של 'יום 1' , דוגמת חולשות במערכות ה-VPN בקבועי זמן קצרים של שעות ועד ימים בודדים".

בועז דולב, מנכ"ל קלירסקיי. צילום: ניב קנטור

בועז דולב, מנכ"ל קלירסקיי. צילום: ניב קנטור

"החל מ-2017", אמר, "הקבוצות הללו מתמקדות בחברות IT, שמספקות שירותי מחשוב ומיקור-חוץ לאלפי חברות אחרות. פריצה לחברות אלה היא ערכית במיוחד, כיוון שדרכן ניתן להגיע לרשתות של חברות נוספות". לדבריו, "לאחר חדירת התוקפים לארגון, הם נוהגים לבסס אחיזה ויתירות תפעולית, על ידי יצירת כמה נקודות גישה חלופיות לליבת הרשת של הארגון. איתור וסגירת נקודת גישה אחת, או חולשה אחת, לא בהכרח סוגרים את היכולת של התוקפים להמשיך ולפעול ברשת הארגון".

"קבוצות התקיפה האיראניות APT34, APT33 ו-APT39 חולקות תשתיות תקיפה", ציין דולב. "ייתכן שמדובר בשתי קבוצות שחולקות תשתיות או בקבוצה אחת, שסומנה כשתיים או כשלוש קבוצות נפרדות. זמן האיתור של תוקף השוהה בתוך רשת של ארגון לאחר שפרץ באמצעות מערכות VPN נע כיום בין חודשים לכלל לא. היכולת הקיימת בארגונים שנפרצו לאתר ולחסום תוקף שנכנס למערכות הליבה של ארגונים באמצעות ניצול כלי התקשרות מרחוק הנה נמוכה".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים