במסגרת מחקר שביצעה חברת מנדיאנט (Mandiant) השייכת לגוגל, זוהתה פעילות ריגול חמורה מצד קבוצת סייבר החשודה כאיראנית, הפועלת לכל הפחות מאז חודש יוני 2022 ותוקפת את מגזרי התעופה, החלל והביטחון במדינות במזרח התיכון, בפרט ישראל ואיחוד האמירויות, וייתכן שגם את טורקיה, הודו ואלבניה.
לפי הדו"ח, פעילות הסייבר משויכת לקבוצה איראנית הנקראת UNC1549 וקשורה לקבוצת Tortoiseshell שזוהתה בעבר עם משמרות המהפכה. הקשר למשמרות המהפכה האיראניות משמעותי בפרט על רקע מלחמת "חרבות ברזל" ולאור המתיחות הגועה בין ישראל ואיראן.
לפי נתוני המודיעין שנאספו על ידי החוקרים על גופים אלה, התקיפות שבוצעו על ידי קבוצת ההאקרים תואמת לאינטרסים האסטרטגיים של איראן, ועלולות לשמש את טהרן לצרכי ריגול וכן לצרכי לוחמת סייבר.
התחזות לתנועה להחזרת החטופים
בכל הנוגע לישראל, במסגרת התקיפה עשתה הקבוצה שימוש בתוכן הקשור באופן ישיר למלחמה מול חמאס, כולל התחזות לתנועת "Bring Them Home Now" הקוראת להשבת החטופים הישראלים משבי ארגון הטרור.
בין היתר, הקבוצה משתמשת באתר המתחזה כדי להפיץ נוזקה בשם MINIBUS, אשר בעת התקנתה הוצג למשתמש תוכן מזויף שנועד ליצור לגיטימיות ולהסוות את הפעילות הזדונית.
מלבד תוכן שקשור למלחמה, הקבוצה מציגה הצעות עבודה מזויפות כדי להפיץ את הנוזקות שלה - בפרט בתחומי הביטחון והטכנולוגיה. כך לדוגמה, הקבוצה השתמשה באתר שמתחזה לחברת בואינג (Boeing) כדי להפיץ את הנוזקה MINIBIKE, וגם כדי לגנוב סיסמאות באמצעות עמודי התחברות (login) מזויפים.
הנדסה חברתית כשיטת הסוואה
עוד עלה מהדו"ח כי ההאקרים משתמשים במגוון שיטות להסוואת הפעילות שלהם, בהן הנדסה חברתית הכוללת שליחת הודעות פישינג והפצת אתרים מזויפים להורדת נוזקות, שימוש נרחב בתשתית הענן של מיקרוסופט (Azure) - שתקשורת מולם עשויה להיראות כמו פעילות לגיטימית, ושימוש בתשתיות בישראל ובאיחוד האמירויות (שעשויות להקשות על זיהוי פעילות זדונית של הקבוצה).
הדו"ח המלא מתאר את פעילות הקבוצה מאז 2022, ההתפתחות של הכלים שלה, תשתיות הענן הרבות שנמצאות בשימוש שלה, ושיטות ייחודיות של הקבוצה שלטענת החוקרים, לא נצפו עד כה בפעילות של קבוצות תקיפה איראניות אחרות.
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו