מלכודת ה"דרושים" של משמרות המהפכה: נחשפה רשת ריגול איראנית

בזמן שהעיניים של כולנו היו נשואות להסלמה הביטחונית ולמבצע "שאגת הארי" שהחל ב-28 בפברואר, בחזית הדיגיטלית התחוללה דרמת ענק חשאית ומבהילה לא פחות. צוותי המחקר של UNIT 42 בחברת פאלו אלטו נטוורקס פרסמו אתמול (ראשון) דוח מקיף החושף קמפיין ריגול סייבר מתמשך ומתוחכם במיוחד של קבוצת APT איראנית המכונה Screening Serpens (המוכרת בקהילת המודיעין גם כ-UNC1549, Smoke Sandstorm או Iranian Dream Job).

מתברר כי ההאקרים האיראנים הצליחו לחדור לגופים רגישים ביותר בארה"ב, ישראל ואיחוד האמירויות, תוך שהם מתמקדים במגזרי טכנולוגיה בעלי ערך גבוה: תעשיות תעופה וחלל, ייצור ביטחוני וחברות תקשורת.

החלק המרתק, והמטריד ביותר במבצע, הוא שיטת הפיתוי של האיראנים, שהתבססה על הנדסה חברתית מדויקת המנצלת את עקבות חיפוש העבודה של הקורבנות. בקמפיין שניהלו מול מטרות בארה"ב, התחזו התוקפים לחברת תעופה גלובלית גדולה ושלחו קובצי ZIP שהכילו מסמכי PDF עם מפרטי משרות פיקטיביים למהנדסי תוכנה בכירים. ברגע שהקורבן ניסה להיכנס ל"פורטל הגיוס", הופעלה ברקע נוזקה, בעוד שעל המסך קפצה הודעת שגיאה מזויפת על "כשל בהתחברות לשרת" כדי להסיר חשד.

בקמפיין מול ישראל, התחזו התוקפים לפלטפורמת שיחות וידאו פופולרית (בסגנון זום או טימס). הם שלחו לקורבנות קישורים אמיתיים לפגישות כדי לבנות אמון, ואז שלחו קישור מזויף שהעתיק את עיצוב המערכת הלגיטימית, ודרש מהעובדים להתקין "עדכון דחוף" שבפועל החדיר את הנוזקה למחשבי החברה.

במסגרת החקירה, שבדקה את התפתחות המתקפות בין פברואר לאפריל 2026, זיהו החוקרים שש גרסאות חדשות של סוסי טרויאני לגישה מרחוק (RAT), שחולקו לשתי משפחות נוזקה חדשות לחלוטין.

המשפחה הראשונה, MiniUpdate, הוסוותה כעדכוני מערכת לגיטימיים ושימשה כדלת אחורית קבועה לאיראנים. המשפחה השנייה, MiniJunk V2, כללה מנגנון מתוחכם שהציף את הקובץ באלפי "מחרוזות זבל" וניפח אותו מלאכותית לגודל של 12 מגה-בייט - טריק שנועד לעקוף מגבלות גודל של מערכות סריקה ואנליזה אוטומטיות של חברות אבטחה.

מתוחכם מכך, בקמפיין מול ארה"ב הוטמעה בנוזקה "פצצת זמן" מבוססת תאריך קשיח: היא תוכנתה לשכב בשקט מוחלט במחשב המותקף, ולהתעורר ולתקשר עם שרתי האויב רק לאחר ה-27 במרץ 2026 בשעה 13:30, כדי למנוע מחוקרי אבטחה לזהות אותה מראש.

על פי הדוח, ההתפתחות הטכנולוגית המשמעותית ביותר של האיראנים בקמפיין הנוכחי מבוססת על טכניקה חסרת תקדים בשם AppDomainManager hijacking. השיטה הזו מנצלת את שלב האתחול של יישומי .NET של מיקרוסופט.

במקום לכתוב קוד מורכב שינסה לפרוץ את מערכות הגנת הקצה בארגון (EDR), ההאקרים פשוט החדירו שורת קוד XML ייעודית ש"ביקשה" ממערכת ההפעלה של Windows לכבות באופן מובנה את מנגנון ה-ETW (Event Tracing for Windows) - מקור המידע הראשי שבו משתמשות תוכנות האנטי-וירוס והאבטחה המודרניות כדי לזהות התנהגות חשודה בזיכרון המחשב). המחשב פשוט ניטרל את האבטחה של עצמו והשאיר את הדלת פתוחה לרווחה עבור התוקפים.

כדי למנוע זיהוי והצלבת מידע בין המדינות השונות, האיראנים הפגינו משמעת מבצעית גבוהה והקימו תשתית ייעודית מופרדת לחלוטין עבור כל יעד, כאשר שרתי הפיקוד והשליטה שלהם הוסוו ברובם על גבי שרתי הענן הלגיטימיים של Microsoft Azure. בקמפיין שנוהל באיחוד האמירויות, שרתו הדומיינים שמות שהתחזו למגזר הבריאות (כמו PremierHealthAdvisory), בעוד שבמדינה אחרת במזרח התיכון הם התחזו למגזר הפיננסי (כמו Ramiltonsfinance).

פאלו אלטו נטוורקס מדגישה כי הקבוצה מציגה עליית מדרגה מדאיגה ביכולות הטכנולוגיות שלה ובעמידות המבצעית שלה, והמצוד הבינלאומי אחר השרתים והתשתיות שלהם ברחבי העולם נמשך גם בשעות אלו.