חוקרי אבטחת המידע של ESET, חברת האבטחה הבינלאומית, חשפו קמפיין סייבר חדש ומתוחכם של קבוצת MuddyWater האיראנית, הפועלת מטעם משרד המודיעין האיראני ונחשבת לאחת מקבוצות הריגול הפעילות במזרח התיכון. הקמפיין כוון בעיקר לארגוני תשתית בישראל וליעד נוסף במצרים, וחשף רמת תחכום גבוהה ויכולות הסוואה משופרות.
על פי הממצאים שפורסמו היום (חמישי), המטרות בישראל כללו חברות טכנולוגיה, גופים הנדסיים, מפעלי ייצור, רשויות מקומיות ומוסדות אקדמיים. המגוון הרחב של היעדים מעיד על מאמץ רוחבי לפגיעה במערכות חיוניות ובארגונים בעלי יכולות השפעה כלל מערכתית.
במסגרת החקירה זוהו כלים חדשים שלא תועדו בעבר, שנועדו לשפר את יכולת ההסוואה, איסוף המידע והשליטה של התוקפים במערכות שנפרצו. בין הכלים נמצאו דלת אחורית חדשה בשם MuddyViper, מספר תוכנות לגניבת סיסמאות, וקובץ זדוני המקודד להיראות כמשחק מחשב פשוט.
שיטת התקיפה: דואר אלקטרוני ותמיכה טכנית
חדירת התוקפים בוצעה בעיקר באמצעות הודעות דואר אלקטרוני ממוקדות שנראו תמימות. ההודעות כללו קבצי PDF עם קישור להורדת תוכנות שליטה מרחוק, לכאורה לצורכי תמיכה טכנית או עדכון תוכנה. בפועל, מדובר בכלים זדוניים שהורדו מאתרי אחסון חינמיים והותקנו על ידי הקורבן מבלי להבין שהם חלק משרשרת תקיפה רחבה.
אחת מהיכולות הבולטות שנחשפו היא מטען זדוני שתוכנן להיראות כמשחק מחשב נוסטלגי. מאחורי ההסוואה התמימה מסתתרת מערכת מתוחכמת שמטעה את מערכות ההגנה באמצעות עיכובים מחושבים, תוך טעינת מרכיבי התקיפה ישירות לזיכרון המחשב ללא כתיבה לדיסק. מהלך זה מקשה מאוד על מערכות זיהוי, ומאפשר לתוקפים לבצע גניבה והעברה של מידע ללא השארת עקבות.
הדלת האחורית MuddyViper מאפשרת לתוקפים לאסוף פרטים על המערכת, להריץ פקודות מרחוק, להוריד ולהעלות קבצים, ולגנוב פרטי התחברות מתוך הדפדפנים של המשתמשים. כך נוצרת תחנת שליטה בתוך הארגון, המספקת לתוקפים אחיזה יציבה לאורך זמן.
תיאום בין קבוצות תקיפה איראניות
מממצאי החקירה עולה, כי בחלק מהמקרים פעלה MuddyWater במקביל לקבוצה איראנית נוספת, תופעה המעידה על תיאום בין כמה גורמי תקיפה והרחבת היקף הפעולה למספר גזרות בו זמנית. ממצאים אלה מחזקים את ההערכה שמדובר במערך תקיפה מדינתי ולא בקבוצה עצמאית.
"חשיפת הקמפיין הזה ממחישה עד כמה קבוצות התקיפה האיראניות משקיעות בשיפור היכולות שלהן ובשכלול דרכי ההסוואה", אמר אבנר מימון, מנכ"ל קומסקיור, המפיצה הבלעדית של ESET בישראל. "השילוב בין כלים חדשים, התחזות מתוחכמת ותכנון מדויק של כל שלבי התקיפה הוא סימן אזהרה לכל ארגון שמפעיל מערכות חיוניות או מחזיק מידע רגיש".
מימון הדגיש כי מערכי ההגנה חייבים להיות רב שכבתיים ולכלול ניטור מתמשך, בקרה על הרשאות ומשמעת אבטחת מידע גבוהה. "מדובר באיום שאינו רק טכנולוגי אלא גם אסטרטגי, ויש להיערך אליו ברמת הנהלה ולא רק ברמת מערכות המידע", הוא הוסיף.
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו