התניעו מחדש: קבוצת תקיפה איראנית בסייבר חוזרת לפעילות

שיתוף פעולה בין חברת SafeBreach ו-Check Point חשף פעילות מחודשת בקבוצת האיומים האיראנית “Infy” המיוחסת לממשלת איראן 

תומר בר. צילום: מאיר כהן

צוות המחקר של חברת SafeBreach, המפתחת פלטפורמה לסימולציות של תקיפה וחדירות סייבר לארגונים, יחד עם צוות המחקר של חברת Check Point הצליחו לזהות עדויות לפעילות מחודשת בקבוצת האיומים האיראנית המפורסמת “Infy” שמופעלת על ידי ממשלת איראן מאז שנת 2007. 

במסגרת המחקר החברות חושפות כי מאז שנת 2018 האיראניים המשיכו לתקוף מתחת לרדאר, באמצעות שימוש כלי תקיפה חדש המכונה ע"י האיראנים Tonnerre (רעם בצרפתית). הרעם הוא הכלי החזק ביותר שלהם המאפשר בין היתר גם האזנה נפחית לשיחה המנוהלת ליד מחשב נגוע הכולל מיקרופון.

כמו כן, הם מצאו כי שיטת התקיפה של האיראנים מורכבת משני שלבים. תחילה תקיפה באמצעות שליחת "ברק" (Foudre- ברק בצרפתית) לוידוא כי אין איומים מצד תוכנות אבטחה ושמחשב היעד ערכי לתוקף האיראני ורק אז הם שולחים את כלי התקיפה "רעם" על מנת לשמור עליו. 

צוותי המחקר מצאו כי במהלך 2020 פותחו גרסאות חדשות של Foudre ו-Tonnerre שנשלחו באמצעות קובץ וורד הכולל מאקרו שמתקין את Foudre במחשב היעד. עוד הם מצאו כי האיראנים שינו את צורת ההתקפה ושידרגו אותה. 

תומר בר, ראש צוות המחקר בחברת סייפבריצ': "צוות המחקר שלנו הצליח בעצם להשיג את הכלי האיראני המתקדם Tonnerre. ביצענו ניתוח מעמיק שלו וגילינו כי האיראנים בעצם הפיקו לקחים מהשתלטות קודמת על תשתית התקיפה שלהם שבוצעה בעבר ע"י חברת אבטחה אחרת וגרם להם לאבד נגישות למרבית הנתקפים ולכן שדרגו את האבטחה של מערך התקיפה לרמות הגבוהות ביותר".

יניב בלמס ראש מחלקת מחקר סייבר בצ'ק פוינט: "המחקר המשותף חושף טקטיקות התקפה חדשות שלא נראו קודם לכן, ומי שעומד מאחורי מבצעי הריגול הללו מפגין מידה גבוהה של תחכום ולמידת לקחים מקמפיינים קודמים שאותרו. מחקרים מסוג זה שחושפים את היכולות המתקדמות של האירנים מוכיחות עד כמה מסוכנות יכולות להיות מתקפות סייבר כשממשלות משתמשות בהן כנגד אזרחים ומלמדות על החשיבות של שמירה על עירנות גבוהה בשימוש בטלפונים ניידים ומחשבים ביתיים, ולמעשה על כל מכשיר המחובר לאינטרנט".

לקריאת המחקר:  https://safebreach.com/blog/2021/After-Lightning-Comes-Thunder.