ה-FBI מתריע: שחקני סייבר מאיראן תוקפים גופים מרכזיים - כולל בישראל
שחקני סייבר איראניים ממשיכים לפעול נגד ארגונים בארה”ב ובמדינות זרות, כולל ישראל, תוך שיתוף פעולה עם שותפי תוכנות כופר. ה-FBI מזהיר מפני פעילותם ומציע הנחיות להתגוננות
ה-FBI, סוכנות הסייבר והביטחון התשתיתי (CISA), ומרכז פשעי הסייבר של משרד ההגנה (DC3) פרסמו יחד אזהרת סייבר שמטרתה להזהיר את המגינים ברשתות כי נכון לאוגוסט 2024, קבוצה של שחקני סייבר שמקורם באיראן ממשיכה לנצל ארגונים בארה"ב ובמדינות זרות.
קבוצה זו פועלת במגזרים שונים בארה"ב, כולל חינוך, פיננסים, בריאות, ביטחון, וישויות ממשלתיות מקומיות. בנוסף, היא תוקפת ארגונים במדינות אחרות כמו ישראל, אזרבייג'ן, ואיחוד האמירויות הערביות. ה-FBI מעריך כי חלק ניכר מפעילות שחקני הסייבר הללו ממוקדת בהשגת גישה לרשתות כדי לשתף פעולה עם שותפים לתוכנות כופר ולהפיץ כופר.
ה-FBI גם מעריך כי שחקנים אלו קשורים לממשלת איראן ומבצעים—בנפרד מפעילות הכופר—פעולות כגון חדירות לגניבת נתונים טכניים רגישים מארגונים בישראל ובאזרבייג'ן.
אזהרה זו כוללת טקטיקות, טכניקות, ופרוצדורות (TTPs) של שחקני האיומים ומדדי סיכון (IOCs), ומדגישה פעילות דומה מהודעה קודמת על ניצול פגיעויות VPN שפורסמה על ידי ה-FBI ו-CISA בספטמבר 2020. המידע וההנחיות באזהרה זו נגזרו מפעילות חקירתית של ה-FBI וניתוח טכני של פעילויות חדירה של הקבוצה כנגד ארגונים בארה"ב ומעורבות עם ישויות רבות שנפגעו מפעילות זדונית זו.
שחקני הסייבר הללו, שהחלו את פעילותם בשנת 2017 וממשיכים לפעול עד היום, ידועים במגזר הפרטי בשמות כמו Pioneer Kitten, Fox Kitten, UNC757, Parisite, RUBIDIUM, ו-Lemon Sandstorm. השחקנים גם מכנים את עצמם בכינוי Br0k3r, ומאז 2024 הם פועלים תחת הכינוי "xplfinder" בערוציהם. ניתוח וחקירה של ה-FBI מצביעים על כך שהפעילות של הקבוצה תואמת לפעילות של שחקן סייבר הנתמך על ידי מדינת איראן.
ה-FBI הבחין בעבר בשחקנים אלו מנסים למכור את גישתם לרשתות של ארגונים שנפרצו בשווקי סייבר באינטרנט. אחוז ניכר מפעילות הסייבר הממוקדת בארה"ב של הקבוצה מיועדת להשיג ולשמור על גישה טכנית לרשתות קורבנות כדי לאפשר מתקפות תוכנות כופר עתידיות.
השחקנים מציעים זכויות שליטה מלאות על הדומיין, כולל אישורי מנהל דומיין, לרשתות רבות ברחבי העולם. לאחרונה זיהה ה-FBI שחקנים אלו משתפים פעולה באופן ישיר עם שותפים לתוכנות כופר, כדוגמת NoEscape, Ransomhouse, ו-ALPHV (המכונה גם BlackCat).
מעורבותם של שחקני הסייבר האיראניים במתקפות תוכנות כופר אלו כוללת יותר מאשר רק הספקת גישה; הם עובדים בצמוד לשותפי תוכנות הכופר כדי לנעול רשתות קורבנות ולתכנן אסטרטגיות להוצאת כופר מהקורבנות. ה-FBI מעריך ששחקנים אלו אינם חושפים את מיקומם באיראן בפני שותפי תוכנות הכופר שלהם ומנסים במכוון להסתיר את לאומיותם ומוצאם.
מעבר לכך, ה-FBI זיהה בעבר את השחקן הזה מבצע קמפיינים של פריצה ודליפת מידע, כגון הקמפיין Pay2Key מ-2020. השחקנים הפעילו אתר .onion דרך דפדפן Tor, שהתארח על תשתית ענן שנרשמה לארגון שנפרץ בעבר על ידי השחקנים. לאחר הפריצה, השחקנים הפיצו חדשות על פריצתם דרך רשתות חברתיות, תייגו חשבונות של קורבנות וארגוני מדיה, ודלפו את נתוני הקורבנות באתר שלהם.
למרות שטכניקה זו משמשת בדרך כלל לשם השפעה על הקורבנות לשלם כופר, ה-FBI מעריך כי במקרה של Pay2Key המטרה הייתה לפגוע בביטחון התשתיות הסייבריות של ישראל.
הקבוצה משתמשת בשם חברת כיסוי איראנית בשם Danesh Novin Sahand, שמספר הזיהוי שלה הוא 14007585836, ככל הנראה כדי להסוות את פעילויות הסייבר הזדוניות שלה.
שחקני סייבר איראניים ממשיכים לפעול נגד ארגונים בארה”ב ובמדינות זרות, כולל ישראל, תוך שיתוף פעולה עם שותפי תוכנות כופר. ה-FBI מזהיר מפני פעילותם ומציע הנחיות להתגוננות
ה-FBI, סוכנות הסייבר והביטחון התשתיתי (CISA), ומרכז פשעי הסייבר של משרד ההגנה (DC3) פרסמו יחד אזהרת סייבר שמטרתה להזהיר את המגינים ברשתות כי נכון לאוגוסט 2024, קבוצה של שחקני סייבר שמקורם באיראן ממשיכה לנצל ארגונים בארה"ב ובמדינות זרות.
קבוצה זו פועלת במגזרים שונים בארה"ב, כולל חינוך, פיננסים, בריאות, ביטחון, וישויות ממשלתיות מקומיות. בנוסף, היא תוקפת ארגונים במדינות אחרות כמו ישראל, אזרבייג'ן, ואיחוד האמירויות הערביות. ה-FBI מעריך כי חלק ניכר מפעילות שחקני הסייבר הללו ממוקדת בהשגת גישה לרשתות כדי לשתף פעולה עם שותפים לתוכנות כופר ולהפיץ כופר.
ה-FBI גם מעריך כי שחקנים אלו קשורים לממשלת איראן ומבצעים—בנפרד מפעילות הכופר—פעולות כגון חדירות לגניבת נתונים טכניים רגישים מארגונים בישראל ובאזרבייג'ן.
אזהרה זו כוללת טקטיקות, טכניקות, ופרוצדורות (TTPs) של שחקני האיומים ומדדי סיכון (IOCs), ומדגישה פעילות דומה מהודעה קודמת על ניצול פגיעויות VPN שפורסמה על ידי ה-FBI ו-CISA בספטמבר 2020. המידע וההנחיות באזהרה זו נגזרו מפעילות חקירתית של ה-FBI וניתוח טכני של פעילויות חדירה של הקבוצה כנגד ארגונים בארה"ב ומעורבות עם ישויות רבות שנפגעו מפעילות זדונית זו.
שחקני הסייבר הללו, שהחלו את פעילותם בשנת 2017 וממשיכים לפעול עד היום, ידועים במגזר הפרטי בשמות כמו Pioneer Kitten, Fox Kitten, UNC757, Parisite, RUBIDIUM, ו-Lemon Sandstorm. השחקנים גם מכנים את עצמם בכינוי Br0k3r, ומאז 2024 הם פועלים תחת הכינוי "xplfinder" בערוציהם. ניתוח וחקירה של ה-FBI מצביעים על כך שהפעילות של הקבוצה תואמת לפעילות של שחקן סייבר הנתמך על ידי מדינת איראן.
ה-FBI הבחין בעבר בשחקנים אלו מנסים למכור את גישתם לרשתות של ארגונים שנפרצו בשווקי סייבר באינטרנט. אחוז ניכר מפעילות הסייבר הממוקדת בארה"ב של הקבוצה מיועדת להשיג ולשמור על גישה טכנית לרשתות קורבנות כדי לאפשר מתקפות תוכנות כופר עתידיות.
השחקנים מציעים זכויות שליטה מלאות על הדומיין, כולל אישורי מנהל דומיין, לרשתות רבות ברחבי העולם. לאחרונה זיהה ה-FBI שחקנים אלו משתפים פעולה באופן ישיר עם שותפים לתוכנות כופר, כדוגמת NoEscape, Ransomhouse, ו-ALPHV (המכונה גם BlackCat).
מעורבותם של שחקני הסייבר האיראניים במתקפות תוכנות כופר אלו כוללת יותר מאשר רק הספקת גישה; הם עובדים בצמוד לשותפי תוכנות הכופר כדי לנעול רשתות קורבנות ולתכנן אסטרטגיות להוצאת כופר מהקורבנות. ה-FBI מעריך ששחקנים אלו אינם חושפים את מיקומם באיראן בפני שותפי תוכנות הכופר שלהם ומנסים במכוון להסתיר את לאומיותם ומוצאם.
מעבר לכך, ה-FBI זיהה בעבר את השחקן הזה מבצע קמפיינים של פריצה ודליפת מידע, כגון הקמפיין Pay2Key מ-2020. השחקנים הפעילו אתר .onion דרך דפדפן Tor, שהתארח על תשתית ענן שנרשמה לארגון שנפרץ בעבר על ידי השחקנים. לאחר הפריצה, השחקנים הפיצו חדשות על פריצתם דרך רשתות חברתיות, תייגו חשבונות של קורבנות וארגוני מדיה, ודלפו את נתוני הקורבנות באתר שלהם.
למרות שטכניקה זו משמשת בדרך כלל לשם השפעה על הקורבנות לשלם כופר, ה-FBI מעריך כי במקרה של Pay2Key המטרה הייתה לפגוע בביטחון התשתיות הסייבריות של ישראל.
הקבוצה משתמשת בשם חברת כיסוי איראנית בשם Danesh Novin Sahand, שמספר הזיהוי שלה הוא 14007585836, ככל הנראה כדי להסוות את פעילויות הסייבר הזדוניות שלה.