קבוצת האקרים איראנית פועלת שנים בלי מפריע - גם נגד מטרות בישראל
עמי רוחקס דומבה
| 26/07/2017
landio / bigstockphoto.com
חברת clearskysec מפרסמת מחקר אודות קבוצת האקרים איראנית בשם CopyKittens. במחקר השתתפו גם החברות Minerva Labs ו-Trend Micro. לתשתית התקיפה ניתן השם Operation Wilted Tulip.
מדובר בקבוצה הפועלת מ-2013 לפחות וממשיכה לפעול עד היום כאשר מטרותיה הן מדינות כמו ישראל, ערב הסעודית, טורקיה, ארצות הברית, ירדן וגרמניה. לעיתים, גם אנשים במדינות אחרות ממוקדים כמו גם עובדי של האו"ם.
על פי המחקר, ארגונים שהותקפו במהלך השנים כוללים מוסדות ממשלתיים (כגון משרד החוץ), מוסדות אקדמיים, חברות ביטחון, רשויות מקומיות, קבלני משנה של משרד הביטחון וחברות IT גדולות. אתרי חדשות באינטרנט ואתרים כלליים נפרצו לצורך הפיכתם לנקודות הפצה של נוזקות (בור מים).
מאפיין בולט של CopyKittens הוא השימוש ב- DNS עבור פקודת תקשורת ובקרה (C & C) ולצורך הזלגת נתונים. תכונה זו זמינה הן ב Cobalt Strike והן Matryoshka. כלים מסחריים או מבוססי קוד פתוח בהם משתמשת הקבוצה.
רוב התשתית המשמשת את הקבוצה היא בארה"ב, רוסיה והולנד. חלק מזה כבר בשימוש כבר יותר משנתיים.
הדו"ח המלא:
http://www.clearskysec.com/wp-content/uploads/2017/07/Operation_Wilted_Tulip.pdf
רשות הסייבר פרסמה התייחסות לנושא.
landio / bigstockphoto.com
חברת clearskysec מפרסמת מחקר אודות קבוצת האקרים איראנית בשם CopyKittens. במחקר השתתפו גם החברות Minerva Labs ו-Trend Micro. לתשתית התקיפה ניתן השם Operation Wilted Tulip.
מדובר בקבוצה הפועלת מ-2013 לפחות וממשיכה לפעול עד היום כאשר מטרותיה הן מדינות כמו ישראל, ערב הסעודית, טורקיה, ארצות הברית, ירדן וגרמניה. לעיתים, גם אנשים במדינות אחרות ממוקדים כמו גם עובדי של האו"ם.
על פי המחקר, ארגונים שהותקפו במהלך השנים כוללים מוסדות ממשלתיים (כגון משרד החוץ), מוסדות אקדמיים, חברות ביטחון, רשויות מקומיות, קבלני משנה של משרד הביטחון וחברות IT גדולות. אתרי חדשות באינטרנט ואתרים כלליים נפרצו לצורך הפיכתם לנקודות הפצה של נוזקות (בור מים).
מאפיין בולט של CopyKittens הוא השימוש ב- DNS עבור פקודת תקשורת ובקרה (C & C) ולצורך הזלגת נתונים. תכונה זו זמינה הן ב Cobalt Strike והן Matryoshka. כלים מסחריים או מבוססי קוד פתוח בהם משתמשת הקבוצה.
רוב התשתית המשמשת את הקבוצה היא בארה"ב, רוסיה והולנד. חלק מזה כבר בשימוש כבר יותר משנתיים.
הדו"ח המלא:
http://www.clearskysec.com/wp-content/uploads/2017/07/Operation_Wilted_Tulip.pdf
רשות הסייבר פרסמה התייחסות לנושא.
