סנטינל לאבס חשפה קבוצת ריגול הפועלת בישראל בכסות של מתקפות כופרה
״ניתוח של מה שנראה במבט ראשון כמתקפת כופר, הראה נוזקה שנפרסה במערך מתקפות הרסניות כנגד מטרות ישראליות״, נכתב בדו״ח החברה, שהוסיפה כי היא מעריכה ״ברמת ביטחון בינונית״ שיש קשר לאיראן
מנדי קוגוסובסקי
| 27/05/2021
BIGSTOCK/Copyright: Koca777
שחקן זדוני חדש בשם ״אגריוס״ חדר לעולם הסייבר הישראלי, ונצפה מבצע פעולות ריגול ונוזקה בכסות של מתקפות כופרה, כך על פי דוח שפרסמה חברת האבטחה הישראלית סנטינל לאבס. המחקר לא הצליח לבסס בוודאות את מקור השחקן החדש, אך מצביע על מספר קשרים לאיראן.
״ניתוח של מה שנראה, במבט ראשון, כמתקפת כופר, הראה גרסאות חדשות של נוזקת Wiper, שנפרסו במערך של מתקפות הרסניות כנגד מטרות ישראליות״, כתב חוקר החברה, אמיתי בן שושן ארליך. ״המפעילים העומדים מאחורי המתקפות מסווים במתכוון את פעילותם כמתקפות כופר״.
על פי הדוח, אחת מגרסאות הנוזקה, הקרויה Apostle (שליח), הפכה לתכנת כופרה שלמעשה החליפה את תכונותיה הקודמות. ״ההודעה בתכנה מרמזת כי נעשה בה שימוש בטרגוט מתקן חיוני בבעלות ממשלתית של איחוד האמירויות. הדמיון לגרסת ה-Wiper, כמו גם אופי המטרה בהקשר לסכסוכים האזוריים, מנחה אותנו להאמין כי המפעילים משתמשים בכופרות עבור היכולות המשבשות שלהן״, כתב בן שושן ארליך.
החוקרים לא מצאו קשר מובהק לשחקנים זדוניים מוכרים אחרים, אך מעריכים ״ברמת ביטחון בינונית״ כי הקבוצה העומדת מאחורי ״אגריוס״ קשורה לאיראן, זאת בשל ההיסטוריה של איראן בהפעלת מתקפות באמצעות Wipers, שימוש בתשתיות VPN שנצפו בעבר בשימוש האקרים איראניים, ועוד.
בן שושן ארליך מתייחס גם למתקפות הסייבר מהחודש האחרון, מאחוריהן עומדת n3tw0rm, שתקפה בין השאר את קבוצת וריטס ואת H&M ישראל – שעל פי חלק מההערכות קשורה אף היא לאיראן. ״קרבת הזמנים בין המתקפות מרמזת כי ייתכן והן חלק מאסטרטגיה איראנית נרחבת ומתואמת״.
״ניתוח של מה שנראה במבט ראשון כמתקפת כופר, הראה נוזקה שנפרסה במערך מתקפות הרסניות כנגד מטרות ישראליות״, נכתב בדו״ח החברה, שהוסיפה כי היא מעריכה ״ברמת ביטחון בינונית״ שיש קשר לאיראן
BIGSTOCK/Copyright: Koca777
שחקן זדוני חדש בשם ״אגריוס״ חדר לעולם הסייבר הישראלי, ונצפה מבצע פעולות ריגול ונוזקה בכסות של מתקפות כופרה, כך על פי דוח שפרסמה חברת האבטחה הישראלית סנטינל לאבס. המחקר לא הצליח לבסס בוודאות את מקור השחקן החדש, אך מצביע על מספר קשרים לאיראן.
״ניתוח של מה שנראה, במבט ראשון, כמתקפת כופר, הראה גרסאות חדשות של נוזקת Wiper, שנפרסו במערך של מתקפות הרסניות כנגד מטרות ישראליות״, כתב חוקר החברה, אמיתי בן שושן ארליך. ״המפעילים העומדים מאחורי המתקפות מסווים במתכוון את פעילותם כמתקפות כופר״.
על פי הדוח, אחת מגרסאות הנוזקה, הקרויה Apostle (שליח), הפכה לתכנת כופרה שלמעשה החליפה את תכונותיה הקודמות. ״ההודעה בתכנה מרמזת כי נעשה בה שימוש בטרגוט מתקן חיוני בבעלות ממשלתית של איחוד האמירויות. הדמיון לגרסת ה-Wiper, כמו גם אופי המטרה בהקשר לסכסוכים האזוריים, מנחה אותנו להאמין כי המפעילים משתמשים בכופרות עבור היכולות המשבשות שלהן״, כתב בן שושן ארליך.
החוקרים לא מצאו קשר מובהק לשחקנים זדוניים מוכרים אחרים, אך מעריכים ״ברמת ביטחון בינונית״ כי הקבוצה העומדת מאחורי ״אגריוס״ קשורה לאיראן, זאת בשל ההיסטוריה של איראן בהפעלת מתקפות באמצעות Wipers, שימוש בתשתיות VPN שנצפו בעבר בשימוש האקרים איראניים, ועוד.
בן שושן ארליך מתייחס גם למתקפות הסייבר מהחודש האחרון, מאחוריהן עומדת n3tw0rm, שתקפה בין השאר את קבוצת וריטס ואת H&M ישראל – שעל פי חלק מההערכות קשורה אף היא לאיראן. ״קרבת הזמנים בין המתקפות מרמזת כי ייתכן והן חלק מאסטרטגיה איראנית נרחבת ומתואמת״.
