מלחמת הסייבר: כך פועלת איראן לחדור למערכות ישראליות

חברת הסייבר הישראלית, סייבריזן, עקבה אחר קבוצת האקרים האיראנית Moses Staff, וחשפה את מטרות התקיפה שלה בישראל • התוקפים השתמשו בנוזקה מתוחכמת שבאמצעותה פרצו לארגונים ופעלו מתחת לרדאר • בעבר קבוצת ההאקרים נקשרה בפריצה למאגרי צה"ל ובגניבת תמונות של שר הביטחון גנץ

במהלך החודשים האחרונים צוות המחקר של חברת הסייבר הישראלית, סייבריזן, עקב אחר קבוצת האקרים האיראנית Moses Staff. הקבוצה אותרה לראשונה באוקטובר 2021, כאשר שמה נקשר לפריצת מאגרי הנתונים של צה"ל ולגניבת תמונת פרטיות של שר הביטחון בני גנץ.

על פי המחקר, מדינת ישראל היוותה יעד תקיפה אסטרטגי. פעולות התקיפה לא מוקדו כנגד סקטור ספציפי, ובין קורבנותיהם של התוקפים נמצאו מגוון גופים כגון ארגונים פיננסיים, גופים ממשלתיים, ספקיות אנרגיה, תעשיות ייצור ועוד. במהלכי התקיפה שהתגלו, השתמשו התוקפים בנוזקה שנשלטת מרחוק שלא תועדה עד היום וזכתה לכינוי StrifeWater.

הקבוצה נהגה על פי דפוס פעולה קבוע: חדירה לסביבת הארגון באמצעות ניצול חולשות על שרתי ווינדוס, והתקנת נוזקה שמעניקה לתוקף גישה לארגון דרך אתר אינטרנט שאינו מאובטח כראוי. לאחר ההשתלטות של התוקפים הם התחילו לנוע בחופשיות בסביבת הארגון במטרה לחפש מידע רגיש שאותו יוכלו לגנוב, להדליף ובסוף גם להצפין, במטרה להשבית את הארגונים הנפגעים.
בתום שלבי התקיפה, הנוזקה ידעה למחוק את עצמה ולהיעלם מהרשת מבלי להשאיר זכר להימצאותה. דרך פעולה מתוחכמת זו עזרה לקבוצת התקיפה לפעול חודשים מתחת לרדאר של כלי אבטחה רבים ולטשטש את עקבותיה. נוסף על כך, נראה שאת מרבית כלי התקיפה שלהם הצליחו Moses Staff להסתיר תחת מעטה של כלי ווינדוס לגיטימיים.

פעולות אלו הן רק חלק מקמפיין תקיפה רחב המנוהל על ידי גורמי ביון איראניים, וכולל בתוכו קבוצות תקיפה שונות שפועלות במקביל באופן עצמאי. במחקרה של סייבריזן נחשפו גם כלי תקיפה חדשים של קבוצת Phosphorus - קבוצה שהחלה את דרכה בשנת 2014 ותקפה מטרות שונות כמו ארגוני בריאות גדולים בארה"ב ומוסדות אקדמיים באירופה.

על פי המחקר, נראה שקבוצת Phosphorus פיתחה לאחרונה סט מורחב של כלי תקיפה חדשים, וביניהם גם כלי מתוחכם המוגן בכמה שכבות הצפנה ומכונה PowerLess Backdoor. כלי זה שימש את התוקפים בפעולות התקיפה דלת אחורית לרשת הארגונית, שדרכה יכלו לפרוץ לסביבה ולגנוב מידע רגיש.

ליאור דיב, מייסד ומנכ"ל סייבריזן, מסר: "פעולות התקיפה שחשפנו מדגישות כי אין עוד הבחנה משמעותית בין יריבות מדינתית וקבוצת תקיפה עצמאית".

עוד מישראל היום

אסף דהן, ראש קבוצת המחקר, מסר: "ניכר כי שתי קבוצות התקיפה שנכללו במחקר פעלו מתוך מניעים גיאופוליטיים מובהקים ולא ממניעים כלכליים. ניסיוננו מלמד כי קבוצות תקיפה איראניות משתמשות בתוכנות כופר כדי לזרוע הרס ופחד בקרב קורבנותיהם, בניסיון להשפיע על התודעה הציבורית כחלק ממלחמת הסייבר המתנהלת בשנים האחרונות בין איראן לישראל".

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו