ורד הזעפרן - מבצע ריגול אירני

לפי דו"ח של חברת FireEye, הקמפיין כוון נגד חברות ביטחוניות בארה"ב וארגונים איראנים אנטי ממשלתיים . יחד עם זאת, מומחים טוענים כי לא מדובר ברמת תחכום כמו זו הקיימת בקבוצות האקרים סיניות

photo by: shutterstock.com

חברת FireEye חושפת דו"ח מחקר מקיף המפרט את פעילותה של קבוצת ריגול סייבר בשם Ajax Security Team שבסיסה, ככל הנראה, באיראן. חוקרי מעבדות FireEye מצאו כי הקבוצה התקדמה בהדרגה, החל משנת 2009, מפעילות ממוקדת של השחתת אתרים לפעילות ריגול סייבר מלאה אשר פועלת כנגד מתנגדי משטר באיראן וחברות ביטחוניות בארה"ב.

בסך הכל, אומרים ב-FireEye זוהו 77 קורבנות משרת שליטה ובקרה אחד. מתוך הקורבנות, 44 מהם שינו את אזור הזמן שלהם לזה של איראן ו-37 שינו את השפה שלהם לפרסית. יש לציין כי מידע אודות הקבוצה פורסם בשנה שעברה בדו"ח של המכון למדיניות נגד טרור (עמוד 25).

הראיות בדו"ח מצביעות על כך שהשיטות של הקבוצה התפתחו בעקביות וכעת עומדת לרשותה היכולת להפעיל איומי סייבר מתקדמים (APT). "ישנה התפתחות משמעותית בתוך קבוצות ההאקרים שבסיסן באיראן, התפתחות אשר עולה בקנה אחד עם מאמציה של איראן להילחם במתנגדי המשטר על ידי הרחבת יכולות הסייבר ההתקפיות שלהם" אומר נרת' וילנב, חוקר בכיר של בינת איומים בחברת FireEye.

"אנו עדים לא רק לפעילות סייבר מתחזקת מצד הקבוצות האיראניות, אלא גם למעבר עיקש לשימוש בטקטיקות מתקדמות יותר של ריגול סייבר. אנחנו כבר לא רואים רק את ההתקפות הפשוטות, שכל מטרתן העברת מסר, אלא גם יוזמות תקיפה ארוכות טווח". למרות חומרת הפעילות והאיומים, עדיין לא ניתן לקבוע בבירור האם קבוצת ההאקרים פועלת באופן עצמאי או כחלק משיתוף פעולה מתואם עם המשטר האיראני.

אולם, חשוב לזכור כי איראן נחשפה כמדינה שהמבצעת מתקפות סייבר כבר בשנת 2009, כאשר תכניות למסוק נשיאותי של חיל הנחתים האמריקאי נמצאו ברשת שיתוף קבצים איראנית, וכאשר מאוחר יותר, בשנת 2013, ביצעו גורמים איראניים התקפות DDoS כלפי גופים פיננסיים רבים בארה"ב והפעילו מאמצים רבים לפגוע בתשתיות קריטיות אמריקאיות.

קבוצת ההאקרים האיראנית, אשר עושה שימוש נרחב בטקטיקות של הנדסה חברתית, בכדי לפתח נשקי סייבר מתוחכמים ותוכנות זדוניות שאת מקורן יהיה קשה לזהות (Zero Day), העניקה למבצע תקיפות הסייבר הנוכחי את השם הציורי "ורד הזעפרן" (Saffron Rose). מטרותיו העיקריות, מבחינת חברי הקבוצה, כוללות, כאמור, קבוצות מתנגדי משטר באיראן וארגוני ביטחון אמריקאים.

מעבדות FireEye מצאו כי לאחרונה בוצעו שורה ארוכה של פעולות ריגול סייבר כנגד חברות העומדות בבסיס תעשיית הביטחון תעשייתי האמריקאית וכן גם כלפי מטרות איראניות מקומיות של מתנגדי משטר, לרבות כאלו שהשתמשו במערכות עוקפות צנזורה במטרה להביע את התנגדותן ולעקוף מגבלות רשת האינטרנט המקומית.

למרות הייחוס לקבוצה האיראנית, אומרים מומחים כי מדובר בקבוצה המציגה רמת תחכום בינונית-נמוכה ואינה מהווה סיכון כמו הקבוצות הסיניות או הרוסיות. 

"פעולת ה-APT של איראן היא לא ממש מתוחכמת כמו זו של סין. הקבוצה האיראנית פועלת יותר ככלבויניק", מסביר Darien Kindlund מפייראיי לאתר darkreading. "בסין, אתה מוצא קבוצה אחת עם התמחות במגזר החלל והביטחון, קבוצה אחרת מתמקדת בפעילות מתנגדי המשטר, וקבוצה אחרת מתמקדת במכירת מידע לצדדים שלישיים. הקבוצה הזו עושה את כל השלושה".

לקריאת הדו"ח המלא של מעבדות FireEye לחצ/י כאן

You might be interested also