תוקפים אירנים הפעילו כלי ריגול התקפיים חדשים במטרה לגנוב מידע רגיש ולהסב נזקים לארגונים ישראליים, כך חשפה היום (שלישי) חברת הסייבר ההגנתית "סייבריזן". על פי חוקרי החברה, שעקבה בחודשים האחרונים אחר קבוצת האקרים אירנית בשם "מטה משה" (Moses staff), התוקפים פעלו ממניעים גיאו-פוליטיים, וזאת כדי לפגוע באינטרסים של ישראל, ארצות הברית ומדינות המפרץ. שמה של קבוצה אירנית זו נקשר בחודש אוקטובר האחרון לפריצת מאגרי הנתונים של צה"ל וגניבת תמונות פרטיות של שר הביטחון בני גנץ.

לפי המחקר, מדינת ישראל היוותה יעד תקיפה אסטרטגי. פעולות התקיפה לא התמקדו בסקטור ספציפי, ובין קורבנותיהם של התוקפים נמצאו מגוון גופים כמו ארגונים פיננסים, גופים ממשלתיים, ספקיות אנרגיה, תעשיות ייצור ועוד. את מרבית כלי התקיפה שלהם הצליחה קבוצת ההאקרים להסתיר תחת מעטה של כלי Windows מוכרים.

תמונות של בני גנץ שהדליפו האקרים אירניים
האקרים אירניים הדליפו תמונות של שר הביטחון גנץ, ארכיון

"קמפיין התקיפה שחשפנו מדגיש כי אין עוד הבחנה משמעותית בין יריבות מדינתית וקבוצת תקיפה עצמאית", מסר ליאור דיב, מייסד ומנכ"ל "סייבריזן". חברת הסייבר שבבעלותו מגנה על נקודות הקצה בארגונים ומטרתה לבצע זיהוי, מניעה ונטרול של תקיפות סייבר.

"פעולות אלו הן רק חלק מקמפיין תקיפה רחב המנוהל על ידי גורמי ביון אירנים, וכולל בתוכו קבוצות תקיפה שונות שפועלות במקביל באופן עצמאי", מסרה החברה, אשר במחקרה נחשפו גם כלי תקיפה חדשים של הקבוצה האירנית Phosphorus - שהחלה את דרכה בשנת 2014 ותקפה מטרות שונות כמו ארגוני בריאות גדולים בארצות הברית ומוסדות אקדמיים באירופה. "ניכר כי שתי קבוצות התקיפה שנכללו במחקר פעלו מתוך מניעים גיאו-פוליטיים מובהקים, ולא ממניעים כלכליים כפי שמקובל בקרב קבוצות פשיעת סייבר. ניסיוננו מלמד כי קבוצות תקיפה אירניות משתמשות בתוכנות כופר על מנת לזרוע הרס ופחד בקרב קורבנותיהם, בניסיון להשפיע על התודעה הציבורית כחלק ממלחמת הסייבר המתנהלת בשנים האחרונות בין אירן לישראל", מסר אסף דהן, ראש קבוצת המחקר של "סייבריזן".

חיילי וקציני צבא אירן מצדיעים מול המנהיג חמינאי (צילום: AP)
"משתמשת בתוכנות כופר על מנת להשפיע על התודעה הציבורית", אירן | צילום: AP

בקמפיין התקיפה השתמשו התוקפים בנוזקה שנשלטת מרחוק מסוג Remote Access Trojan) RAT) אשר לא תועדה עד היום וזכתה לכינוי StrifeWater. הקבוצה נהגה על פי דפוס פעולה קבוע: חדירה לסביבת הארגון באמצעות ניצול חולשות על שרתי ווינדוס (ProxyShell) והתקנת נוזקה מסוג WebShell (טכניקה אשר מעניקה לתוקף גישה לארגון דרך אתר אינטרנט שאינו מאובטח כראוי). לאחר ההשתלטות, החדירו התוקפים את נוזקת StrifeWater לרשת, ומשלב זה התחילו לנוע בחופשיות בסביבת הארגון במטרה לחפש מידע רגיש אותו יוכלו לגנוב, להדליף ובסוף גם להצפין, כדי להשבית את ארגונים הנפגעים. בתום שלבי התקיפה, הנוזקה ידעה למחוק את עצמה ולהיעלם מהרשת מבלי להשאיר זכר להימצאותה. דרך פעולה מתוחכמת זו עזרה לקבוצת התקיפה האירניות לפעול חודשים מתחת לרדאר של כלי אבטחה רבים ולטשטש את עקבותיה.