סייבריזן: נחשפו כלי ריגול איראנים חדשים שהופעלו כנגד יעדים ישראליים
בקמפיין התקיפה שהתגלה, השתמשו התוקפים בנוזקה שנשלטת מרחוק מסוג Remote Access Trojan, אשר לא תועדה עד היום וזכתה לכינוי StrifeWater
עמי רוחקס דומבה
| 01/02/2022
באדיבות סייבריזן
חברת הסייבר סייבריזן (Cybereason) חשפה היום (1.2) כלי ריגול התקפיים איראנים חדשים אשר הופעלו במטרה לגנוב מידע רגיש ולהסב נזקים לארגונים ישראלים. על פי החוקרים, בניגוד למתקפות כופרה של קבוצות פשיעה הפועלות למטרות בצע כסף, התוקפים האיראנים פעלו ממניעים גיאופוליטיים על מנת לפגוע באינטרסים של מדינת ישראל, ארה"ב ומדינות המפרץ.
במהלך החודשים האחרונים, צוות המחקר של סייבריזן עקב אחר קבוצת האקרים האיראנית Moses Staff. הקבוצה אותרה לראשונה באוקטובר 2021 כאשר שמה נקשר לפריצת מאגרי הנתונים של צה"ל וגניבת תמונת פרטיות של שר הביטחון בני גנץ.
על פי המחקר, מדינת ישראל היוותה יעדי תקיפה אסטרטגי. פעולות התקיפה לא מוקדו כנגד סקטור ספציפי, ובין קורבנותיהם של התוקפים נמצאו מגוון גופים כגון ארגונים פיננסים, גופים ממשלתיים, ספקיות אנרגיה, תעשיות ייצור ועוד.
בקמפיין התקיפה שהתגלה, השתמשו התוקפים בנוזקה שנשלטת מרחוק מסוג Remote Access Trojan, אשר לא תועדה עד היום וזכתה לכינוי StrifeWater. הקבוצה נהגה על פי דפוס פעולה קבוע: חדירה לסביבת הארגון באמצעות ניצול חולשות על שרתי ווינדוס (ProxyShell) והתקנת נוזקה מסוג WebShell (טכניקה אשר מעניקה לתוקף גישה לארגון דרך אתר אינטרנט שאינו מאובטח כראוי).
לאחר ההשתלטות, החדירו התוקפים את נוזקת StrifeWater לרשת ומשלב זה התחילו לנוע בחופשיות בסביבת הארגון במטרה לחפש מידע רגיש אותו יוכלו לגנוב, להדליף ובסוף גם להצפין, כדי להשבית את ארגונים הנפגעים.
בתום שלבי התקיפה, הנוזקה ידעה למחוק את עצמה ולהיעלם מהרשת מבלי להשאיר זכר להימצאותה. דרך פעולה מתוחכמת זו עזרה לקבוצת התקיפה לפעול חודשים מתחת לרדאר של כלי אבטחה רבים ולטשטש את עקבותיה. בנוסף לכך, נראה שאת מרבית כלי התקיפה שלהם הצליחו Moses Staff להסתיר תחת מעטה של כלי Windows לגיטימיים.
פעולות אלו הן רק חלק מקמפיין תקיפה רחב המנוהל על ידי גורמי ביון איראניים, וכולל בתוכו קבוצות תקיפה שונות שפועלות במקביל באופן עצמאי. במחקרה של סייבריזן, נחשפו גם כלי תקיפה חדשים של קבוצת Phosphorus - קבוצה שהחלה את דרכה בשנת 2014 ותקפה מטרות שונות כגון ארגוני בריאות גדולים בארה"ב ומוסדות אקדמיים באירופה.
על פי המחקר נראה שקבוצת Phosphorus פיתחה לאחרונה סט מורחב של כלי תקיפה חדשים, ביניהם גם כלי מתוחכם המוגן במספר שכבות הצפנה ומכונה PowerLess Backdoor. כלי זה שמש את התוקפים בפעולות התקיפה כדלת אחורית לרשת הארגונית, דרכה יכלו לפרוץ לסביבה ולגנוב מידע רגיש.
ליאור דיב, מייסד ומנכ"ל סייבריזן מסר: "קמפיין התקיפה שחשפנו מדגיש כי אין עוד הבחנה משמעותית בין יריבות מדינתית וקבוצת תקיפה עצמאית. תוקפים רבים משתמשים בנוזקות מתוחכמות על מנת לחדור לארגונים, להשחית ולגנוב מידע רגיש, ובסוף גם למחוק את עקבותיהם וכך לחמוק ממערכות ההגנה המסורתיות.״
אסף דהן, ראש קבוצת המחקר מסר: "ניכר כי שתי קבוצות התקיפה שנכללו במחקר פעלו מתוך מניעים גיאופוליטיים מובהקים, ולא ממניעים כלכליים כפי שמקובל בקרב קבוצות פשיעת סייבר שמבצעות מתקפות כופרה. ניסיוננו מלמד כי קבוצות תקיפה איראניות משתמשות בתוכנות כופר על מנת לזרוע הרס ופחד בקרב קורבנותיהם, בניסיון להשפיע על התודעה הציבורית כחלק ממלחמת הסייבר המתנהלת בשנים האחרונות בין איראן לישראל".
בקמפיין התקיפה שהתגלה, השתמשו התוקפים בנוזקה שנשלטת מרחוק מסוג Remote Access Trojan, אשר לא תועדה עד היום וזכתה לכינוי StrifeWater
באדיבות סייבריזן
חברת הסייבר סייבריזן (Cybereason) חשפה היום (1.2) כלי ריגול התקפיים איראנים חדשים אשר הופעלו במטרה לגנוב מידע רגיש ולהסב נזקים לארגונים ישראלים. על פי החוקרים, בניגוד למתקפות כופרה של קבוצות פשיעה הפועלות למטרות בצע כסף, התוקפים האיראנים פעלו ממניעים גיאופוליטיים על מנת לפגוע באינטרסים של מדינת ישראל, ארה"ב ומדינות המפרץ.
במהלך החודשים האחרונים, צוות המחקר של סייבריזן עקב אחר קבוצת האקרים האיראנית Moses Staff. הקבוצה אותרה לראשונה באוקטובר 2021 כאשר שמה נקשר לפריצת מאגרי הנתונים של צה"ל וגניבת תמונת פרטיות של שר הביטחון בני גנץ.
על פי המחקר, מדינת ישראל היוותה יעדי תקיפה אסטרטגי. פעולות התקיפה לא מוקדו כנגד סקטור ספציפי, ובין קורבנותיהם של התוקפים נמצאו מגוון גופים כגון ארגונים פיננסים, גופים ממשלתיים, ספקיות אנרגיה, תעשיות ייצור ועוד.
בקמפיין התקיפה שהתגלה, השתמשו התוקפים בנוזקה שנשלטת מרחוק מסוג Remote Access Trojan, אשר לא תועדה עד היום וזכתה לכינוי StrifeWater. הקבוצה נהגה על פי דפוס פעולה קבוע: חדירה לסביבת הארגון באמצעות ניצול חולשות על שרתי ווינדוס (ProxyShell) והתקנת נוזקה מסוג WebShell (טכניקה אשר מעניקה לתוקף גישה לארגון דרך אתר אינטרנט שאינו מאובטח כראוי).
לאחר ההשתלטות, החדירו התוקפים את נוזקת StrifeWater לרשת ומשלב זה התחילו לנוע בחופשיות בסביבת הארגון במטרה לחפש מידע רגיש אותו יוכלו לגנוב, להדליף ובסוף גם להצפין, כדי להשבית את ארגונים הנפגעים.
בתום שלבי התקיפה, הנוזקה ידעה למחוק את עצמה ולהיעלם מהרשת מבלי להשאיר זכר להימצאותה. דרך פעולה מתוחכמת זו עזרה לקבוצת התקיפה לפעול חודשים מתחת לרדאר של כלי אבטחה רבים ולטשטש את עקבותיה. בנוסף לכך, נראה שאת מרבית כלי התקיפה שלהם הצליחו Moses Staff להסתיר תחת מעטה של כלי Windows לגיטימיים.
פעולות אלו הן רק חלק מקמפיין תקיפה רחב המנוהל על ידי גורמי ביון איראניים, וכולל בתוכו קבוצות תקיפה שונות שפועלות במקביל באופן עצמאי. במחקרה של סייבריזן, נחשפו גם כלי תקיפה חדשים של קבוצת Phosphorus - קבוצה שהחלה את דרכה בשנת 2014 ותקפה מטרות שונות כגון ארגוני בריאות גדולים בארה"ב ומוסדות אקדמיים באירופה.
על פי המחקר נראה שקבוצת Phosphorus פיתחה לאחרונה סט מורחב של כלי תקיפה חדשים, ביניהם גם כלי מתוחכם המוגן במספר שכבות הצפנה ומכונה PowerLess Backdoor. כלי זה שמש את התוקפים בפעולות התקיפה כדלת אחורית לרשת הארגונית, דרכה יכלו לפרוץ לסביבה ולגנוב מידע רגיש.
ליאור דיב, מייסד ומנכ"ל סייבריזן מסר: "קמפיין התקיפה שחשפנו מדגיש כי אין עוד הבחנה משמעותית בין יריבות מדינתית וקבוצת תקיפה עצמאית. תוקפים רבים משתמשים בנוזקות מתוחכמות על מנת לחדור לארגונים, להשחית ולגנוב מידע רגיש, ובסוף גם למחוק את עקבותיהם וכך לחמוק ממערכות ההגנה המסורתיות.״
אסף דהן, ראש קבוצת המחקר מסר: "ניכר כי שתי קבוצות התקיפה שנכללו במחקר פעלו מתוך מניעים גיאופוליטיים מובהקים, ולא ממניעים כלכליים כפי שמקובל בקרב קבוצות פשיעת סייבר שמבצעות מתקפות כופרה. ניסיוננו מלמד כי קבוצות תקיפה איראניות משתמשות בתוכנות כופר על מנת לזרוע הרס ופחד בקרב קורבנותיהם, בניסיון להשפיע על התודעה הציבורית כחלק ממלחמת הסייבר המתנהלת בשנים האחרונות בין איראן לישראל".
