האיראנים מעלים הילוך: מתקפת פישינג חדשה ומתוחכמת על ארגונים וחברות בישראל
מערך הסייבר הלאומי מתריע מפני מתקפת פישינג רחבה של קבוצת MuddyWater האיראנית, במסגרתה נשלחים מיילים אמינים מתיבות שנפרצו המכילים נוזקה חדשה, המוסווית כקובץ וורד. במקביל, חברת ESET חשפה קמפיין של הקבוצה נגד מגוון חברות ישראליות, בו נעשה שימוש בקבצי PDF ובמשחקי עבר נוסטלגיים להסוואת כלי ריגול, המאפשרים לתוקפים שליטה מרחוק ואחיזה שקטה ברשת הארגונית
פורסם:
מתקפות איראניות מתוחכמות על חברות וגופים ישראלים: בשבועות האחרונים זיהה מערך הסייבר הלאומי מתקפות פישינג כלפי ארגונים בהיקפים רחבים ובשיטה שעשויה להיראות אמינה במיוחד למקבלי ההודעות. מאחורי ניסיון התקיפה השיטתי עומדת קבוצת התקיפה MuddyWater, הפועלת מטעם משרד המודיעין האיראני.
במסגרת המתקפות, פורצים התוקפים לתיבות מייל ארגוניות לגיטימיות ומוציאים מהן הודעות דיוג שנראות אמינות עם עברית תקינה, תוכן שמותאם לתחום העיסוק של הארגון וקבצים עם שם רלוונטי. למייל מצורף קובץ Word זדוני, ואם המשתמש לוחץ על “Enable Content”, הכלי הזדוני משתלט על העמדה. המיילים מותאמים לעולם התוכן של הארגון, עד כדי שימוש בלוגו, חתימות ומסמכים שנראים רשמיים לחלוטין.
לאחר פתיחת הקובץ, מותקן על עמדת הקצה כלי תקיפה ייעודי בשם BlackBeard - נוזקה חדשה יחסית שמאפשרת לתוקף אחיזה מלאה בעמדה, מיפוי המערכת, עקיפת מוצרי אבטחה והורדת רכיבי תקיפה נוספים לפי צורך. מרגע ההדבקה, תיבת המייל של המשתמש משמשת להפצת המתקפה הלאה בתוך הארגון ומחוצה לו לאלפי נמענים. לאחר ההדבקה, הנוזקה משתמשת בשיטה שקטה לשמירת אחיזה המאפשרת לה להישאר פעילה מבלי להופיע במיקומים המוכרים לכלי אבטחה. זהו דפוס פעולה שמתאים היטב ל-MuddyWater ונראה במתקפות עבר בישראל.
MuddyWater הפועלת תחת משרד המודיעין האיראני, ממקדת את פעילותה באיסוף מודיעין ובהשגת דריסת רגל ארוכת-טווח בתוך רשתות יעד. בשנים האחרונות היא פועלת באופן עקבי לנסות לתקוף גופים בישראל – ממשל ובריאות, חינוך ועסקים קטנים בינוניים, והיא אחראית בין היתר על הקבוצה משלבת כלים מפיתוח עצמי יחד עם תשתיות פיקוד ושליטה מבוזרות. ניסיונות הקבוצה לתקוף ארגונים זוהו גם במדינות נוספות בהן טורקיה, אפגניסטן, פקיסטן, איחוד האמירויות הערביות, עיראק, בריטניה, אזרבייג'ן, ארצות הברית, מצרים וניגריה.
מערך הסייבר קורא לארגונים בישראל לנהוג בערנות מוגברת ולהקפיד על מספר צעדי הגנה קריטיים. דוח בנושא הופץ היום ויוצג במסגרת אירועי שבוע הסייבר (סייברוויק) באוניברסיטת ת"א.
לדברי חוקרי הסייבר, מחברי הדוח ממערך הסייבר הלאומי, "המתקפות האחרונות מעידות שוב על ניסיונות מתמשכים מצד גורמים איראניים לחדור לרשתות ישראליות ולהתבסס בהן לטווח ארוך. ההתחזות, השפה המדויקת והקבצים שנראים לגיטימיים – כל אלה נועדו לעקוף את האינסטינקט האנושי ולגרום למשתמש ללחוץ על הקובץ המזיק. תקיפה אחת כזו שמצליחה עלולה להפוך בתוך דקות למתקפה רוחבית על ארגונים שלמים. זו הסיבה שהמערך ממשיך לעדכן, להתריע וללוות ארגונים כדי לצמצם את הסיכון ולחזק את החוסן הלאומי".
פרסומת
מטען זדוני שנראה כמו משחק מחשב נוסטלגי
במקביל, חוקרי ESET חשפו גם הם קמפיין סייבר נגד ישראל של MuddyWater, שפועל בשיטה דומה – אך לא זהה, ופרסמו כי הקורבנות בישראל כללו חברות טכנולוגיה, גופים הנדסיים, מפעלי ייצור, רשויות מקומיות ומוסדות אקדמיים, "מה שמעיד על מאמץ רוחבי לפגיעה במערכות חיוניות ובארגונים בעלי יכולות השפעה כלל מערכתית".
על פי איסט, חדירת התוקפים בוצעה בעיקר באמצעות הודעות דואר אלקטרוני ממוקדות שנראו תמימות לחלוטין. ההודעות כללו קבצי PDF שכללו קישור להורדת תוכנות שליטה מרחוק, לכאורה לצורכי תמיכה טכנית או עדכון תוכנה. בפועל מדובר בכלים זדוניים שהורדו מאתרי אחסון חינמיים, והותקנו על ידי הקורבן מבלי להבין כי הם מהווים חלק משרשרת תקיפה רחבה.
אחת מהיכולות הבולטות שנחשפו בקמפיין היא מטען זדוני המתוכנן להיראות כמו משחק מחשב נוסטלגי. מאחורי ההסוואה תמימה מסתתרת מערכת מתוחכמת שמטעה את מערכות ההגנה באמצעות עיכובים מחושבים, תוך טעינת מרכיבי התקיפה ישירות אל זיכרון המחשב ללא כתיבה לדיסק. זהו מהלך שמקשה מאוד על מערכות זיהוי ואיתור, ומאפשר לתוקפים לבצע גניבה והעברה של מידע ללא השארת עקבות על המחשב.
פרסומת
הדלת האחורית שנחשפה מאפשרת לתוקפים לאסוף פרטים על המערכת, להריץ פקודות מרחוק, להוריד ולהעלות קבצים, ולגנוב פרטי התחברות מתוך הדפדפנים של המשתמשים. מערך זה משמש את התוקפים כתחנת שליטה בתוך הארגון, ומספק להם אחיזה יציבה לאורך זמן.
מממצאי החקירה עולה כי בחלק מהמקרים פעלה MuddyWater במקביל לקבוצה איראנית נוספת, תופעה המעידה על תיאום בין מספר גורמי תקיפה והרחבת היקף הפעולה למספר גזרות בו זמנית. ממצאים אלה מחזקים את ההערכה כי מדובר במערך תקיפה מדינתי ולא בקבוצה עצמאית.
"חשיפת הקמפיין הזה ממחישה עד כמה קבוצות התקיפה האיראניות משקיעות בשיפור היכולות שלהן ובשכלול דרכי ההסוואה", אומר אבנר מימון, מנכ"ל קומסקיור, המפיצה הבלעדית של ESET בישראל.
"השילוב בין כלים חדשים, התחזות מתוחכמת ותכנון מדויק של כל שלבי התקיפה הוא סימן אזהרה לכל ארגון שמפעיל מערכות חיוניות או מחזיק מידע רגיש. זוהי תזכורת לכך שמערכי ההגנה חייבים להיות רב שכבתיים ולכלול ניטור מתמשך, בקרה על הרשאות ומשמעת אבטחת מידע גבוהה. מדובר באיום שאינו רק טכנולוגי אלא גם אסטרטגי, ויש להיערך אליו ברמת הנהלה ולא רק ברמת מערכות המידע".
מצאתם טעות לשון?