צ׳ק פוינט: קבוצת הסייבר הזדונית ״מטה משה״ אינה מעוניינת בכסף, אלא רק בגרימת נזק לישראל
הקבוצה, שעל פי הערכות מקושרת לאיראן, מנסה לפגוע בחברות ישראליות על ידי הדלפת נתונים רגישים והצפנת רשתות, בשונה מקבוצות אחרות שדרשו דמי כופר גבוהים, כך על פי דוח חדש של ענקית אבטחת המידע
מנדי קוגוסובסקי
| 16/11/2021
BIGWTOCK/copyright: wing-wing
גרימת נזק על ידי הדלפת נתונים רגישים שגנבה וכן הצפנת רשתות קורבנות, ללא בקשת כופרה: זוהי מטרתה העיקרית קבוצת הסייבר הזדונית ״מטה משה״ (Moses Staff), שעל פי הערכות חוקרים מקושרת לאיראן. בכך, היא פועלת בצורה שונה מקבוצות תקיפה אחרות המקושרות לאיראן, שמטרתן העיקרית היא ליצור רעש ולפגוע בתדמית במדינה. זאת על פי דוח חדש של חוקרי צ׳ק פוינט, שכותרתו ״אידיאולוגיה על פני כסף״.
הקבוצה הופיעה לראשונה בסוף חודש אוקטובר, והיא מעדכנת את עמוד הטלגרם שלה על בסיס קבוע בעברית ובאנגלית. לטענתה, פרצה לדואר ישראל, לחברות הנדסה ולחברות טכנולוגיות שונות, ואף פרסמה לינקים למאגרי המידע המודלפים כביכול. בנוסף, פרסמה תמונות של שר הביטחון בני גנץ וטענה כי יש לה מסמכים סודיים ממשרד הביטחון. הקבוצה פתחה עמוד חדש בשבוע שעבר, לאחר שטלגרם חסמה את העמוד המקורי.
בסוף השבוע האחרון פרסמה צילומי תעודות זהות, וגם הבטיחה ״חדשות מיוחדות תוך 48 שעות. המתינו להפתעות שלנו״, עם לינק שכביכול מכיל מידע רגיש הקשור ליחידה 8200. ״אנו הצלחנו לחדור לתשתית הסייבר של הממשלה הציונית הפושעת והשגנו 22 טרה בייט, כולל תמונות תלת מימד מכל אזורי ישראל שהופקו על ידם״, כתבו.
״׳מטה משה׳ מבצעת מתקפות ממוקדות נגד חברות ישראליות, מדליפה את הנתונים שלהן ומצפינה את הרשתות. אין דרישות לכופר או אפשרות למפתח הצפנה: המניעים שלה הם פוליטיים בלבד״, כותבים חוקרי צ׳קפוינט. לדבריהם, הגישה הראשונית למערכות המחשוב מתבצעת תוך ניצול פגיעויות ידועות בתשתיות ציבוריות, דוגמת מיקרוסופט Exchange. בתוך הרשת, הפעילות מתבצעת בכלים בסיסיים תוך ניצול ספריית הקוד הפתוח DiskCryptor כדי לבצע הצפנה ולנעול את המחשבים.
החוקרים מציינים כי קבוצה זו שונה מקבוצות הכופרה הידועות ביותר לשמצה דוגמת קונטי ולוקביט, שמוודאות שמערכת ההצפנה שלהן חפות מכל פגם. ״מסיבות שונות – העדר מוטיבציה כלכלית, חוסר ניסיון בתוכנות כופרה או כישורי קידוד חובבניים, קבוצת ׳מטה משה׳ לא התאמצה עד כדי כך״, הם כותבים.
״כשמוסיפים את זה לעובדה שהקבוצה לא ניהלה מו״מ על כסף, ניתן להניח שמטרתה היא לגרום נזק בלתי הפיך לארגונים ישראלים...הם טעו לחלוטין כאשר הרכיבו את ערכת ההצפנה שלהם, הפתעה בנוף הנוכחי בו נראה שכל פושע סייבר בסיסי יודע לפחות את היסודות של יצירת תוכנות כופר מתפקדות״.
״אדם פיקח פותר בעיה, אדם חכם נמנע ממנה״, מסכמים החוקרים. ״החולשות אותן מנצלת הקבוצה אינן חולשות zero-day, ולכן כל הקורבנות הפוטנציאלים יכולים להגן על עצמם באופן מיידי על ידי תיקון מיידי של כל המערכות הפונות לציבור״.
בתגובה לפניית ישראל דיפנס, נמסר ממערך הסייבר הלאומי כי ״בחודשים האחרונים התריע המערך מספר פעמים על האקרים שמנצלים חולשת אבטחה בשרת הדוא"ל Exchange כדי לתקוף ארגונים. המערך אף פנה לארגונים החשופים לחולשה באופן יזום בנושא. המערך קורא שוב לארגונים להטמיע במערכותיהם את העדכונים הקריטיים האחרונים שהפיצה מיקרוסופט לחולשה זו - עדכון פשוט וללא עלות שיכול לצמצם את הסיכוי לתקיפה זו״.
הקבוצה, שעל פי הערכות מקושרת לאיראן, מנסה לפגוע בחברות ישראליות על ידי הדלפת נתונים רגישים והצפנת רשתות, בשונה מקבוצות אחרות שדרשו דמי כופר גבוהים, כך על פי דוח חדש של ענקית אבטחת המידע
BIGWTOCK/copyright: wing-wing
גרימת נזק על ידי הדלפת נתונים רגישים שגנבה וכן הצפנת רשתות קורבנות, ללא בקשת כופרה: זוהי מטרתה העיקרית קבוצת הסייבר הזדונית ״מטה משה״ (Moses Staff), שעל פי הערכות חוקרים מקושרת לאיראן. בכך, היא פועלת בצורה שונה מקבוצות תקיפה אחרות המקושרות לאיראן, שמטרתן העיקרית היא ליצור רעש ולפגוע בתדמית במדינה. זאת על פי דוח חדש של חוקרי צ׳ק פוינט, שכותרתו ״אידיאולוגיה על פני כסף״.
הקבוצה הופיעה לראשונה בסוף חודש אוקטובר, והיא מעדכנת את עמוד הטלגרם שלה על בסיס קבוע בעברית ובאנגלית. לטענתה, פרצה לדואר ישראל, לחברות הנדסה ולחברות טכנולוגיות שונות, ואף פרסמה לינקים למאגרי המידע המודלפים כביכול. בנוסף, פרסמה תמונות של שר הביטחון בני גנץ וטענה כי יש לה מסמכים סודיים ממשרד הביטחון. הקבוצה פתחה עמוד חדש בשבוע שעבר, לאחר שטלגרם חסמה את העמוד המקורי.
בסוף השבוע האחרון פרסמה צילומי תעודות זהות, וגם הבטיחה ״חדשות מיוחדות תוך 48 שעות. המתינו להפתעות שלנו״, עם לינק שכביכול מכיל מידע רגיש הקשור ליחידה 8200. ״אנו הצלחנו לחדור לתשתית הסייבר של הממשלה הציונית הפושעת והשגנו 22 טרה בייט, כולל תמונות תלת מימד מכל אזורי ישראל שהופקו על ידם״, כתבו.
״׳מטה משה׳ מבצעת מתקפות ממוקדות נגד חברות ישראליות, מדליפה את הנתונים שלהן ומצפינה את הרשתות. אין דרישות לכופר או אפשרות למפתח הצפנה: המניעים שלה הם פוליטיים בלבד״, כותבים חוקרי צ׳קפוינט. לדבריהם, הגישה הראשונית למערכות המחשוב מתבצעת תוך ניצול פגיעויות ידועות בתשתיות ציבוריות, דוגמת מיקרוסופט Exchange. בתוך הרשת, הפעילות מתבצעת בכלים בסיסיים תוך ניצול ספריית הקוד הפתוח DiskCryptor כדי לבצע הצפנה ולנעול את המחשבים.
החוקרים מציינים כי קבוצה זו שונה מקבוצות הכופרה הידועות ביותר לשמצה דוגמת קונטי ולוקביט, שמוודאות שמערכת ההצפנה שלהן חפות מכל פגם. ״מסיבות שונות – העדר מוטיבציה כלכלית, חוסר ניסיון בתוכנות כופרה או כישורי קידוד חובבניים, קבוצת ׳מטה משה׳ לא התאמצה עד כדי כך״, הם כותבים.
״כשמוסיפים את זה לעובדה שהקבוצה לא ניהלה מו״מ על כסף, ניתן להניח שמטרתה היא לגרום נזק בלתי הפיך לארגונים ישראלים...הם טעו לחלוטין כאשר הרכיבו את ערכת ההצפנה שלהם, הפתעה בנוף הנוכחי בו נראה שכל פושע סייבר בסיסי יודע לפחות את היסודות של יצירת תוכנות כופר מתפקדות״.
״אדם פיקח פותר בעיה, אדם חכם נמנע ממנה״, מסכמים החוקרים. ״החולשות אותן מנצלת הקבוצה אינן חולשות zero-day, ולכן כל הקורבנות הפוטנציאלים יכולים להגן על עצמם באופן מיידי על ידי תיקון מיידי של כל המערכות הפונות לציבור״.
בתגובה לפניית ישראל דיפנס, נמסר ממערך הסייבר הלאומי כי ״בחודשים האחרונים התריע המערך מספר פעמים על האקרים שמנצלים חולשת אבטחה בשרת הדוא"ל Exchange כדי לתקוף ארגונים. המערך אף פנה לארגונים החשופים לחולשה באופן יזום בנושא. המערך קורא שוב לארגונים להטמיע במערכותיהם את העדכונים הקריטיים האחרונים שהפיצה מיקרוסופט לחולשה זו - עדכון פשוט וללא עלות שיכול לצמצם את הסיכוי לתקיפה זו״.
