ושוב: נחשפה מתקפת סייבר איראנית על ישראל
מיקרוסופט הודיעה כי קבוצה זדונית חדשה המקושרת לאיראן תקפה מאות חשבונות אופיס 365, תוך התמקדות בחברות ביטחוניות וטכנולוגיות וכן בחברות תעבורה ימית בישראל, ארה״ב, אירופה והמפרץ
מנדי קוגוסובסקי
| 12/10/2021
BIGSTOCK/Copyright: Mehanig
חברת מיקרוסופט הודיעה אמש כי קבוצה זדונית חדשה המקושרת לאיראן תקפה מאות חשבונות אופיס 365, תוך ״התמקדות בחברות טכנולוגיות אמריקניות וישראליות, נקודות כניסה למפרץ הפרסי, וחברות תעבורה ימית עולמיות בעלות נוכחות עסקית במזרח התיכון״, כך על פי פרסום בבלוג האבטחה של החברה.
הקבוצה, שזוהתה לראשונה על ידי צוות מודיעין איומי הסייבר של מיקרוסופט בסוף יולי השנה, מכונה בשלב זה DEV-0343. ניסיון הפריצה הנוכחי, בו הותקפו למעלה מ-250 לקוחות של אופיס 365 נערך בשיטת ״ריסוס סיסמאות״, בעיקר מכתובת IP של TOR. מיקרוסופט מציינת כי פחות מ-20% מהחשבונות שטורגטו אכן נפגעו, אך שהקבוצה ממשיכה לפתח את הטכניקות שלה כדי לשפר את המתקפות. עוד מציינת החברה כי חשבונות עם אימות רב-שלבי עמידים בפני שיטה זו.
״נצפתה התמקדות של פעולות DEV-0343 בחברות ביטחוניות התומכות בשותפי ממשלות ארה״ב, האיחוד האירופי וישראל המייצרות מכ״מים ברמה צבאית, טכנולוגיות מזל״טים, מערכות לוויין ומערכות תקשורת למענה חירום. פעילות נוספת התמקדה בלקוחות של מערכות מידע גיאוגרפי (GIS), מערכות ניתוחי מרחב, נמלי כניסה אזוריים במפרץ הפרסי, ומספר חברות הובלה ימית ומטען להן מיקוד עסקי במזרח התיכון״, נכתב בפרסום.
מיקרוסופט מקשרת בין מתקפות מקוונות אלו ללוחמה המתנהלת, על פי פרסומים שונים, גם בעולם הפיזי, וקראה לחברות העוסקות בתחומי ההגנה והים לבדוק ולשפר את מערכות הגנת הסיסמאות שלהן. ״מיקרוסופט מעריכה שפעולות אלה תומכות במעקב שמבצעת ממשלת איראן אחר שירותי הגנה יריבים ושילוח ימי במזרח התיכון. השגת גישה לתמונות לוויין מסחריות ולתוכניות משלוחים ויומנים תוכל לסייע לאיראן בתכנית הלוויין המתפתחת שלה״.
"בניגוד להתכתשויות הסייבר הקבועות בין ישראל ואיראן, המתקפה הזו מעט שונה״, מסביר ד"ר מייק דהאן, מומחה לטכנולוגיה וחברה, ומרצה במחלקה לתקשורת ומנהל ומדיניות ציבורית במכללה האקדמית ספיר. ״התוקפים עשו שימוש במתקפה לא מתוחכמת במיוחד, ריסוס ססמאות, כאשר בסופו של דבר נפרצו פחות מ-20 חשבונות. הסימנים מצביעים על כך שהמתקפה נועדה בעיקר להשיג את הקניין הרוחני של חברות אלו, ועל פי החוקרים של מיקרוסופט, כנראה כדי לעבות את המחקר הלוויני האיראני".
גם המרכז הארצי לניהול אירועי סייבר (CERT), של מרכז הסייבר הלאומי הישראלי נדרש לנושא ופרסם המלצות הגנה. הרשות הישראלית אינה מתייחס למקור הקבוצה (״התוקפים הינם ככל הנראה קבוצת תקיפה מדינתית״, נכתב בפרסום), אך מדגישה את המלצתה של מיקרוסופט בנוגע להזדהות חזקה (רב-שלבית) ושימוש בפתרונות הזדהות.
בסוף השבוע האחרון פרסמה מיקרוסופט את דו״ח ההגנה הדיגיטלי השנתי שלה, ממנו עלה כי בשנה האחרונה הגדילה איראן פי ארבעה את מספר מתקפות הסייבר על ישראל. עוד בשבוע שעבר, חשפה חברת הסיייבר ההגנתי סייבריזן תשתית ריגול מתוחכמת שפעלה נגד ארה״ב, מדינות באירופה ובמזרח התיכון וגם נגד ישראל, שאף היא מיוחסת לשחקן לאום איראני.
מיקרוסופט הודיעה כי קבוצה זדונית חדשה המקושרת לאיראן תקפה מאות חשבונות אופיס 365, תוך התמקדות בחברות ביטחוניות וטכנולוגיות וכן בחברות תעבורה ימית בישראל, ארה״ב, אירופה והמפרץ
BIGSTOCK/Copyright: Mehanig
חברת מיקרוסופט הודיעה אמש כי קבוצה זדונית חדשה המקושרת לאיראן תקפה מאות חשבונות אופיס 365, תוך ״התמקדות בחברות טכנולוגיות אמריקניות וישראליות, נקודות כניסה למפרץ הפרסי, וחברות תעבורה ימית עולמיות בעלות נוכחות עסקית במזרח התיכון״, כך על פי פרסום בבלוג האבטחה של החברה.
הקבוצה, שזוהתה לראשונה על ידי צוות מודיעין איומי הסייבר של מיקרוסופט בסוף יולי השנה, מכונה בשלב זה DEV-0343. ניסיון הפריצה הנוכחי, בו הותקפו למעלה מ-250 לקוחות של אופיס 365 נערך בשיטת ״ריסוס סיסמאות״, בעיקר מכתובת IP של TOR. מיקרוסופט מציינת כי פחות מ-20% מהחשבונות שטורגטו אכן נפגעו, אך שהקבוצה ממשיכה לפתח את הטכניקות שלה כדי לשפר את המתקפות. עוד מציינת החברה כי חשבונות עם אימות רב-שלבי עמידים בפני שיטה זו.
״נצפתה התמקדות של פעולות DEV-0343 בחברות ביטחוניות התומכות בשותפי ממשלות ארה״ב, האיחוד האירופי וישראל המייצרות מכ״מים ברמה צבאית, טכנולוגיות מזל״טים, מערכות לוויין ומערכות תקשורת למענה חירום. פעילות נוספת התמקדה בלקוחות של מערכות מידע גיאוגרפי (GIS), מערכות ניתוחי מרחב, נמלי כניסה אזוריים במפרץ הפרסי, ומספר חברות הובלה ימית ומטען להן מיקוד עסקי במזרח התיכון״, נכתב בפרסום.
מיקרוסופט מקשרת בין מתקפות מקוונות אלו ללוחמה המתנהלת, על פי פרסומים שונים, גם בעולם הפיזי, וקראה לחברות העוסקות בתחומי ההגנה והים לבדוק ולשפר את מערכות הגנת הסיסמאות שלהן. ״מיקרוסופט מעריכה שפעולות אלה תומכות במעקב שמבצעת ממשלת איראן אחר שירותי הגנה יריבים ושילוח ימי במזרח התיכון. השגת גישה לתמונות לוויין מסחריות ולתוכניות משלוחים ויומנים תוכל לסייע לאיראן בתכנית הלוויין המתפתחת שלה״.
"בניגוד להתכתשויות הסייבר הקבועות בין ישראל ואיראן, המתקפה הזו מעט שונה״, מסביר ד"ר מייק דהאן, מומחה לטכנולוגיה וחברה, ומרצה במחלקה לתקשורת ומנהל ומדיניות ציבורית במכללה האקדמית ספיר. ״התוקפים עשו שימוש במתקפה לא מתוחכמת במיוחד, ריסוס ססמאות, כאשר בסופו של דבר נפרצו פחות מ-20 חשבונות. הסימנים מצביעים על כך שהמתקפה נועדה בעיקר להשיג את הקניין הרוחני של חברות אלו, ועל פי החוקרים של מיקרוסופט, כנראה כדי לעבות את המחקר הלוויני האיראני".
גם המרכז הארצי לניהול אירועי סייבר (CERT), של מרכז הסייבר הלאומי הישראלי נדרש לנושא ופרסם המלצות הגנה. הרשות הישראלית אינה מתייחס למקור הקבוצה (״התוקפים הינם ככל הנראה קבוצת תקיפה מדינתית״, נכתב בפרסום), אך מדגישה את המלצתה של מיקרוסופט בנוגע להזדהות חזקה (רב-שלבית) ושימוש בפתרונות הזדהות.
בסוף השבוע האחרון פרסמה מיקרוסופט את דו״ח ההגנה הדיגיטלי השנתי שלה, ממנו עלה כי בשנה האחרונה הגדילה איראן פי ארבעה את מספר מתקפות הסייבר על ישראל. עוד בשבוע שעבר, חשפה חברת הסיייבר ההגנתי סייבריזן תשתית ריגול מתוחכמת שפעלה נגד ארה״ב, מדינות באירופה ובמזרח התיכון וגם נגד ישראל, שאף היא מיוחסת לשחקן לאום איראני.
