חוקרי חברת אבטחת המידע ESET חשפו היום (שני) קמפיין נגד מטרות ישראליות של קבוצת התקיפה Ballistic Bobcat המזוהה עם איראן, המשתמשת בדלת אחורית חדשה אותה החברה כינתה בשם Sponsor.
קבוצת Ballistic Bobcat, שזוהתה בעבר בשם APT35/APT42 (וכמו כן בשמות כמוCharming Kitten , TA543 או PHOSPHORUS), היא קבוצת תקיפה החשודה כמזוהה עם אינטרסים איראניים ופוגעת בארגונים חינוכיים, ממשלתיים ורפואיים וכן בארגוני זכויות אדם ובעיתונאים.
עיקר הפעילות של הקבוצה הוא מול מטרות מישראל, המזרח התיכון וארה״ב. מטרת הקבוצה היא ריגול סייבר, והרוב הגדול מתוך 34 הקורבנות נמצאו בישראל, כאשר רק שניים מתוכם היו בברזיל ובאיחוד האמירויות. בישראל הותקפו ארגונים מתעשיות הרכב, הייצור, ההנדסה, השירותים הפיננסיים, התקשורת, הרפואה והטכנולוגיה.
חוסר בידע על הערך המודיעיני
אצל 16 מתוך 34 הקורבנות של הקמפיין שהתגלה, נראה כי קבוצת Ballistic Bobcat לא הייתה הגורם הזדוני היחיד שהייתה לו גישה למערכת. הממצא הזה, יחד עם המגוון הרחב של הקורבנות ומה שנראה כמו חוסר בידע על הערך המודיעיני הממשי של חלק מהם, מצביע על כך שהקבוצה פעלה ככל הנראה באופן של סריקה ופריצה, בניגוד לקמפיין ממוקד נגד קורבנות שנבחרו מראש.
נכון לעכשיו, נראה כי קבוצת ההאקרים ממשיכה לחפש מטרות אפשריות נוספות, שבהן עדיין יש פרצות לא מתוקנות בשרתי Microsoft Exchange החשופים לאינטרנט. לפי ESET, הקבוצה ממשיכה להשתמש במערך כלים מגוון בקוד פתוח יחד עם כמה אפליקציות מותאמות-אישית, בהן גם הדלת האחורית Sponsor שהתגלתה לאחרונה.
"מומלץ להתקין עדכוני אבטחה בכל מכשיר החשוף לאינטרנט ולהיות ערניים לאפליקציות חדשות המופיעות באופן מפתיע בארגון״, מסביר אדם בורגר, חוקר בחברה שחשף את הדלת האחורית Sponsor וניתח את הקמפיין האחרון של Ballistic Bobcat.
במהלך מגפת הקורונה, קבוצת Ballistic Bobcat תקפה ארגונים הקשורים למחלת הקורונה, ביניהם ארגון הבריאות העולמי (WHO) ואנשי מחקר רפואי.