סייבריזן: קבוצת האקרים תוקפת בכירים במזרח התיכון
מדובר בקבוצה דוברת ערבית הפועלת ברשות הפלסטינית, איחוד האמירויות, מצרים וסעודיה. המטרה: לדלות מידע על היחסים עם ישראל
עמי רוחקס דומבה
| 09/12/2020
צילום: סייבריזן
קבוצת המחקר של חברת הסייבר סייבריזן חשפה כי החל מחתימת ההסכם בין ישראל לאיחוד האמירויות בוצעה סדרת תקיפות סייבר נגד גורמים בכירים ברשות הפלסטינית, איחוד האמירויות, מצרים וסעודיה. מדובר בקבוצת תקיפה התוקפת בעיקר ממניעים פוליטיים, כדי לדלות מידע על היחסים עם ישראל.
חברת הסייבר ההגנתי סייבריזן חשפה היום (רביעי) קבוצת תקיפה שמפעילה כלי תקיפה חדשים נגדו גורמים מהרשות הפלסטינית, איחוד האמירויות, מצרים וסעודיה במטרה לאסוף מידע מודיעיני רגיש. קבוצת המחקר של סייבריזן, נוקטורנוס (Nocturnus), מצאה כי תקיפות אלו בוצעו על ידי קבוצת התוקפים המכונה "MoleRATs" או "Gaza Cybergang". מדובר בקבוצת דוברת ערבית, התוקפת בעיקר ממניעים פוליטיים ופועלת כנגד יעדים שונים במזרח התיכון למטרות ריגול.
במהלך השבועות האחרונים, מאז הסדרת היחסים עם איחוד האמירויות ועם סעודיה, הבחינה קבוצת המחקר של סייבריזן בפעילות מוגברת בתשתיות התקיפה של הקבוצה. סייבריזן חשפה כי התוקפים הפיצו תוכנית זדוניות והשתמשו בתכנים אקטואלים גיאו-פוליטיים כדי להפיצן באמצעות פישיניג.
כדוגמת הפגישה המסוקרת בין יורש העצר הסעודי, שר החוץ האמריקאי מייק פומפאו, וראש ממשלת ישראל בנימין נתניהו. הקבוצה הצליחה לפתות גורמים בכירים ואנשי ממשל להוריד קבצים אלו שנשלחו אליהם. בעת פתיחתם הותקנה תוכנות זדוניות מאחורי הקלעים שגונבת מידע ממחשביהם. התוכנות מכונות: "SharpStage” ,,"DropBook” "MoleNet".
פעילות התקיפה נעשתה בדרך מתוחכמת ויצירתית. התוקפים פתחו פרופילים פיקטיביים ברשת החברתית Facebook דרכם העלו פוסטים שנראים לגיטימיים, אך בפועל היוו פקודת תקיפה לגניבת מידע. את המידע שנגנב העלו התוקפים ל Google Drive ו- Dropbox, וכך שמרו על המידע בצורה קלה ומאובטחת. בשל השימוש המתוחכם בתוכנות אלה, הצליחו להשאיר מתחת לרדאר את פעולותיהם למשך זמן.
״שימוש באירועים אקטואליים לטובת ביצוע מתקפות פישינג ברשת אינה שיטה חדשה, אך השימוש המוגבר בפלטפורמות לגיטימיות ורשתות חברתיות על מנת להוציא לפועל פקודות תקיפה מצביע על דרך פעולה מתקדמת. התוקפים לוקחים בחשבון כי מערכות ההגנה המסורתיות אינן מסוגלות לאתר שיטות אלו, דבר הנותן להם כמעט חופשיות מוחלטת ברשת הארגון.
"שנת 2020 האיצה ארגונים רבים להחליף את המערכות המסורתיות בפלטפורמת ההגנה המתקדמת של סייבריזן על מנת לאבטח את העבודה מרחוק, לעצור תקיפות מתוחכמות ולעמוד בקצב של העולם החדש״ מסר ליאור דיב, מייסד ומנכ״ל סייבריזן.
מוקדם יותר השנה, חשפה סייבריזן שתי נוזקות של אותה קבוצת תקיפה המכונות Spark ו- Pierogi, אשר שימשו לתקיפות ממוקדות כנגד בכירים פלסטינים באותם המתודולוגיות של פיתוי באמצעות מידע אקטואלי על מנת להשתלט על המחשבים ולדלות מידע מודיעיני רגיש. תקיפה זו גרמה לצוות המחקר של סייבריזן להמשיך ולעקוב אחרי פעילות קבוצת התקיפה ולחשוף את הקמפיין הנוכחי.
מדובר בקבוצה דוברת ערבית הפועלת ברשות הפלסטינית, איחוד האמירויות, מצרים וסעודיה. המטרה: לדלות מידע על היחסים עם ישראל
צילום: סייבריזן
קבוצת המחקר של חברת הסייבר סייבריזן חשפה כי החל מחתימת ההסכם בין ישראל לאיחוד האמירויות בוצעה סדרת תקיפות סייבר נגד גורמים בכירים ברשות הפלסטינית, איחוד האמירויות, מצרים וסעודיה. מדובר בקבוצת תקיפה התוקפת בעיקר ממניעים פוליטיים, כדי לדלות מידע על היחסים עם ישראל.
חברת הסייבר ההגנתי סייבריזן חשפה היום (רביעי) קבוצת תקיפה שמפעילה כלי תקיפה חדשים נגדו גורמים מהרשות הפלסטינית, איחוד האמירויות, מצרים וסעודיה במטרה לאסוף מידע מודיעיני רגיש. קבוצת המחקר של סייבריזן, נוקטורנוס (Nocturnus), מצאה כי תקיפות אלו בוצעו על ידי קבוצת התוקפים המכונה "MoleRATs" או "Gaza Cybergang". מדובר בקבוצת דוברת ערבית, התוקפת בעיקר ממניעים פוליטיים ופועלת כנגד יעדים שונים במזרח התיכון למטרות ריגול.
במהלך השבועות האחרונים, מאז הסדרת היחסים עם איחוד האמירויות ועם סעודיה, הבחינה קבוצת המחקר של סייבריזן בפעילות מוגברת בתשתיות התקיפה של הקבוצה. סייבריזן חשפה כי התוקפים הפיצו תוכנית זדוניות והשתמשו בתכנים אקטואלים גיאו-פוליטיים כדי להפיצן באמצעות פישיניג.
כדוגמת הפגישה המסוקרת בין יורש העצר הסעודי, שר החוץ האמריקאי מייק פומפאו, וראש ממשלת ישראל בנימין נתניהו. הקבוצה הצליחה לפתות גורמים בכירים ואנשי ממשל להוריד קבצים אלו שנשלחו אליהם. בעת פתיחתם הותקנה תוכנות זדוניות מאחורי הקלעים שגונבת מידע ממחשביהם. התוכנות מכונות: "SharpStage” ,,"DropBook” "MoleNet".
פעילות התקיפה נעשתה בדרך מתוחכמת ויצירתית. התוקפים פתחו פרופילים פיקטיביים ברשת החברתית Facebook דרכם העלו פוסטים שנראים לגיטימיים, אך בפועל היוו פקודת תקיפה לגניבת מידע. את המידע שנגנב העלו התוקפים ל Google Drive ו- Dropbox, וכך שמרו על המידע בצורה קלה ומאובטחת. בשל השימוש המתוחכם בתוכנות אלה, הצליחו להשאיר מתחת לרדאר את פעולותיהם למשך זמן.
״שימוש באירועים אקטואליים לטובת ביצוע מתקפות פישינג ברשת אינה שיטה חדשה, אך השימוש המוגבר בפלטפורמות לגיטימיות ורשתות חברתיות על מנת להוציא לפועל פקודות תקיפה מצביע על דרך פעולה מתקדמת. התוקפים לוקחים בחשבון כי מערכות ההגנה המסורתיות אינן מסוגלות לאתר שיטות אלו, דבר הנותן להם כמעט חופשיות מוחלטת ברשת הארגון.
"שנת 2020 האיצה ארגונים רבים להחליף את המערכות המסורתיות בפלטפורמת ההגנה המתקדמת של סייבריזן על מנת לאבטח את העבודה מרחוק, לעצור תקיפות מתוחכמות ולעמוד בקצב של העולם החדש״ מסר ליאור דיב, מייסד ומנכ״ל סייבריזן.
מוקדם יותר השנה, חשפה סייבריזן שתי נוזקות של אותה קבוצת תקיפה המכונות Spark ו- Pierogi, אשר שימשו לתקיפות ממוקדות כנגד בכירים פלסטינים באותם המתודולוגיות של פיתוי באמצעות מידע אקטואלי על מנת להשתלט על המחשבים ולדלות מידע מודיעיני רגיש. תקיפה זו גרמה לצוות המחקר של סייבריזן להמשיך ולעקוב אחרי פעילות קבוצת התקיפה ולחשוף את הקמפיין הנוכחי.
