נחשפה עוד תשתית ריגול איראנית הפועלת כנגד יעדים בישראל

המנהיג העליון עלי ח'אמנאי לא מתעייף ואינו מרפה: נחשפה תשתית ריגול מתוחכמת, המיוחסת לקבוצת תקיפה איראנית. הקבוצה פעלה לטובת ריגול וגניבת מידע רגיש בקרב יעדים שונים בישראל, ברחבי המזרח התיכון וכן בארה"ב, רוסיה ואירופה. את הקבוצה גילו חוקרי סייבריזן (Cybereason).

קמפיין התקיפה הרחב מיוחס לקבוצת תקיפה איראנית המכונה MalKamak. מהחקירה עולה כי הקבוצה פעלה מתחת לרדאר משנת 2018 ולא נחשפה עד היום. התוקפים פעלו בצורה חשאית ומדוקדקת, וביקשו לחדור ליעדים אסטרטגיים, בעיקר בקרב חברות וארגונים העוסקים בתקשורת נתונים, טכנולוגיות אוויריות וחקר החלל.

גנבו מידע מבלי להיחשף 

המחקר, שארך כמה חודשים, החל לאחר שצוותי המחקר וניהול המשברים של סייבריזן נקראו לסייע לאחת החברות שהותקפו. במהלך קמפיין התקיפה השתמשו התוקפים בנוזקה מסוג RAT (ר"ת Remote Access Trojan), המכונה ShellClient . זו לא תועדה עד היום, והתפתחה באופן משמעותי במהלך השנים. הנוזקה הוחדרה לתשתיות הארגונים ושימשה ככלי מרכזי לריגול וגניבת מידע רגיש של תשתיות קריטיות, נכסים וטכנולוגיות שונות. התוקפים ניצלו את השימוש הרחב בפלטפורמת דרופבוקס, המציעה שירותי אחסון חינמיים בענן, לטובת שליטה מרחוק בנוזקה, תחת מסווה של תעבורת רשת לגיטימית.

התוקפים סרקו את הרשתות הפנימיות וגנבו מידע מבלי להיחשף על ידי תוכנות ההגנה שהותקנו בארגוני הקורבנות. במהלך החקירה נמצאו קשרים אפשריים לקבוצות תקיפה איראניות נוספות, אולם המחקר מדגיש כי "שיטת הפעולה הייחודית של קבוצת MalKamak מבדילה את פועלה משאר הקבוצות האחרות".

אסף דהן, ראש קבוצת מחקר איומי סייבר בסייבריזן. צילום: יח"צ צילום: יח"צ

לדברי סייבריזן, אנשיה עדכנו את הארגונים שנפגעו וכן את הגורמים הביטחוניים הרלוונטים, "אולם טרם הוברר הנזק הממשי שנגרם".

"לאחר התקנת הטכנולוגיה שלנו על מחשבי הארגון שהותקף, זיהינו נוזקה מתוחכמת וחדשה שטרם נראתה או תועדה. חקר מעמיק של הצוות הצביע על כך שהתקיפה היא למעשה חלק אחד מתוך קמפיין ביון איראני שלם, אשר מתנהל בחשאיות ומתחת לרדאר בשלוש השנים האחרונות", אמר אסף דהן, ראש קבוצת מחקר איומי סייבר בסייבריזן, "לפי העקבות המעטות שהשאירו התוקפים מאחור, ניתן להבין בבירור כי הם פעלו ביסודיות ובחרו את קורבנותיהם באופן קפדני. מדובר בתוקף איראני מתוחכם, שפעל במקצועיות, לפי אסטרטגיה שקולה ומחושבת".

ההאקרים האיראנים החתלתולים הסיאמיים. עיבוד אילוסטרציה, מקור: BigStock

עוד מתקפות איראניות

באוגוסט השנה חשפה קלירסקיי (ClearSky) הישראלית כי קבוצת האקרים איראנית תקפה חברות ישראליות רבות, כולל חברות IT. קבוצת התקיפה האיראנית החתלתולים הסיאמיים, המכונה גם Hexane/Lyceum, החלה לפעול לפני שלוש שנים. לפי חוקרי חברת הגנת הסייבר הישראלית, הקבוצה התמקדה בעבר בתקיפת חברות תשתית, נפט, גז וחברות טלקום באפריקה. ב-2019 היא החלה לפעול גם במזרח התיכון. ברבעון הראשון השנה התמקדה הקבוצה בתקיפות של חברות בתוניסיה. במאי השנה זיהו חוקרי קלירסקיי כי קבוצת החתלתולים הסיאמיים החלה לתקוף חברות בישראל. ביולי 2021 החוקרים זיהו גל נוסף של תקיפות, שהתבצע מול חברות ישראליות.

"הקבוצה פועלת לקיבוע אחיזה ברשת המותקפת, לצורך השגת יכולת פעולה מתמשכת, בלא הפרעה", ציינו החוקרים והוסיפו כי וקטור החדירה לחברות המותקפות הוא בעיקר באמצעות משלוח מסמכי פישינג, הטומנים בחובם נוזקה לעובדים. חברות סייבר נוספות שחקרו את פעילות הקבוצה, מצאו דמיון בין הפעילות של קבוצת החתלתולים הסיאמיים, לבין הפעילות של שתי קבוצות תקיפה איראניות – APT33 ו-APT34. "אנו מעריכים", כתבו חוקרי קלרסקיי בדו"ח, "כי מתקפות אלו, והמיקוד של ההאקרים בחברות IT ובחברות תקשורת, הם אמצעים של הקבוצה לביצוע קמפיין מודיעין וריגול המבוסס על תקיפת שרשרת אספקה בישראל. המטרה של הקבוצה היא חדירה לחברות IT, אשר דרכן הן יוכלו 'לדלג' לרשתות של לקוחות אותן חברות".