קלירסקיי: יחידת סייבר של חיזבאללה פרצה לחברות בישראל ובמזה"ת
קבוצת "ארזי הלבנון" תקפה חברות טלקום וספקי אינטרנט באמצעות ניצול חולשות בשרתי אורקל ואטלסיאן
עמי רוחקס דומבה
| 28/01/2021
בועז דולב. באדיבות קלירסקיי
מחקר חדש של חברת קלירסקיי חושף היום כי קבוצת התקיפה "ארזי הלבנון", ככל הנראה יחידת הסייבר של החיזבאללה, הצליחה לחדור למערכות ולבסיסי הנתונים של מאות חברות בעולם, בעיקר בתחום הטלקום והתשתיות. ככל הנראה מטרת החדירה הייתה לצורף איסוף מודיעין וגניבת בסיסי הנתונים של החברות. המידע מכיל נתונים רגישים על הלקוחות ובמקרה של חברות הטלקום, ניתן אף להניח כי התאפשרה גישה לבסיסי נתונים הכוללים תיעודי שיחות.
"יחידת הסייבר של החיזבאללה הקימה מעין 'אקדמיית סייבר' בביירות בשנים האחרונות ונראה שחלק מהפעילות שלה נחשף במחקר זה" מסביר בועז דולב, מנכ"ל קלירסקיי. "מדובר בקבוצה שהצליחה לשמור על פרופיל נמוך במשך זמן ארוך וככל הנראה לגנוב מידע ערכי. חברות טלקום בכל העולם מהוות יעד מועדף לגניבת מידע רגיש ונראה שעומק החדירה שהושג בתקיפה זו הוא משמעותי".
רשימת החברות שככל הנראה נפרצו כוללת ספקיות ענן ושירותי אירוח בארה"ב ובריטניה, חברת הסלולר Vodafone במצרים וספקיות אינטרנט וטלפוניה בסעודיה, ירדן, ברשות הפלסטינית ובאיחוד האמירויות. עוד נפרצו שורה של חברות בישראל. קבוצת התקיפה הצליחה לחדור לחברות דרך שרתי ווב של חברת אורקל ואטלאסיאן, המפעילה את שירות בקרת התוכנה הפופולארי, ג'ירה.
"החדירה למערכות אלה" מציינים החוקרים "בוצעה ככל הנראה באמצעות ניצול חולשות ידועות במערכות בשרתי אורקל ואיתור פרצות באמצעות כלי פריצת רשת מבוססי קוד פתוח".
פעילותה של הקבוצה נחשפה ב- 2015, אולם מאז הצליחה הקבוצה לפעול מתחת לרדאר ולהסתיר חלקית את פעילותה. קבוצת התקיפה הלבנונית פועלת מתוך מניעים פוליטיים ואידיאולוגיים ומכוונת את מתקפותיה נגד יחידים, חברות ומוסדות ברחבי העולם. חוקרי צ'ק פוינט הצליחו במחקרם לשייך את הקבוצה לממשל הלבנוני או לחיזבאללה, ובמחקר שביצעה קלירסקיי, הצליחה החברה לקשר בסבירות גבוהה את הפעילות הנוכחית לפעילות שנחשפה במחקר מ- 2015.
קבוצת "ארזי הלבנון" תקפה חברות טלקום וספקי אינטרנט באמצעות ניצול חולשות בשרתי אורקל ואטלסיאן
בועז דולב. באדיבות קלירסקיי
מחקר חדש של חברת קלירסקיי חושף היום כי קבוצת התקיפה "ארזי הלבנון", ככל הנראה יחידת הסייבר של החיזבאללה, הצליחה לחדור למערכות ולבסיסי הנתונים של מאות חברות בעולם, בעיקר בתחום הטלקום והתשתיות. ככל הנראה מטרת החדירה הייתה לצורף איסוף מודיעין וגניבת בסיסי הנתונים של החברות. המידע מכיל נתונים רגישים על הלקוחות ובמקרה של חברות הטלקום, ניתן אף להניח כי התאפשרה גישה לבסיסי נתונים הכוללים תיעודי שיחות.
"יחידת הסייבר של החיזבאללה הקימה מעין 'אקדמיית סייבר' בביירות בשנים האחרונות ונראה שחלק מהפעילות שלה נחשף במחקר זה" מסביר בועז דולב, מנכ"ל קלירסקיי. "מדובר בקבוצה שהצליחה לשמור על פרופיל נמוך במשך זמן ארוך וככל הנראה לגנוב מידע ערכי. חברות טלקום בכל העולם מהוות יעד מועדף לגניבת מידע רגיש ונראה שעומק החדירה שהושג בתקיפה זו הוא משמעותי".
רשימת החברות שככל הנראה נפרצו כוללת ספקיות ענן ושירותי אירוח בארה"ב ובריטניה, חברת הסלולר Vodafone במצרים וספקיות אינטרנט וטלפוניה בסעודיה, ירדן, ברשות הפלסטינית ובאיחוד האמירויות. עוד נפרצו שורה של חברות בישראל. קבוצת התקיפה הצליחה לחדור לחברות דרך שרתי ווב של חברת אורקל ואטלאסיאן, המפעילה את שירות בקרת התוכנה הפופולארי, ג'ירה.
"החדירה למערכות אלה" מציינים החוקרים "בוצעה ככל הנראה באמצעות ניצול חולשות ידועות במערכות בשרתי אורקל ואיתור פרצות באמצעות כלי פריצת רשת מבוססי קוד פתוח".
פעילותה של הקבוצה נחשפה ב- 2015, אולם מאז הצליחה הקבוצה לפעול מתחת לרדאר ולהסתיר חלקית את פעילותה. קבוצת התקיפה הלבנונית פועלת מתוך מניעים פוליטיים ואידיאולוגיים ומכוונת את מתקפותיה נגד יחידים, חברות ומוסדות ברחבי העולם. חוקרי צ'ק פוינט הצליחו במחקרם לשייך את הקבוצה לממשל הלבנוני או לחיזבאללה, ובמחקר שביצעה קלירסקיי, הצליחה החברה לקשר בסבירות גבוהה את הפעילות הנוכחית לפעילות שנחשפה במחקר מ- 2015.
