מתקפת סייבר איראנית נגד השרה לשעבר ובכירי ביטחון ישראלים

חברת האבטחה צ'ק פוינט פרסמה היום (שלישי) מחקר מקיף שחושף כי האקרים איראנים פרצו לתיבות דואר אלקטרוני של בכירים בישראל במשך לפחות חצי שנה, ובאמצעותם ביצעו תקיפות 'פישניג' ממוקדות. היעדים היו גורמים פוליטיים, מדיניים, אקדמאיים ועסקיים בעלי פרופיל גבוה.

בין היעדים של הפצחנים האיראנים היו אלוף בכיר במילואים ששימש בתפקיד רגיש, ההאקרים התחזו אליו והתכתבו בשמו עם גורמים בכירים במטרה לגרום להם לפתוח מסמכים שונים, ובהם שרת החוץ לשעבר ציפי לבני שהמייל עורר את חשדה. לצידו, עלה גם שמם של שגריר ארה"ב לשעבר בישראל, ראש מכון מחקר מרכזי מאד, אקדמאי בכיר העוסק בנושאי המזרח התיכון, סמנכ"ל בחברה ביטחונית מרכזית ועוד.

בסוף 2021 קיבלה השרה לשעבר ציפי לבני מספר מיילים בעברית מאותו אלוף במילואים, הכוללים בקשה לקריאת מאמר שכתב על אירועים ביטחוניים בשנת 2021. לאחר מספר מיילים בהם הפציר בה לפתוח את הקובץ באמצעות סיסמת המייל שלה, לבני פנתה לאותו אלוף במילואים שלא הבין במה מדובר. לבני העבירה לצ'קפוינט את המיילים הללו, וממנה התחקו בחברה אחר השולחים והקבצים, וגילו עד כמה המהלך היה רחב. 

לפי המחקר של חברת צ'ק פוינט, במהלך חצי השנה בה פעלו הפצחנים, החל מדצמבר האחרון ועד הימים האחרונים, הם הצליחו לשים את ידם על תכתובת מייל פרטית בין ראש מכון מחקר מרכזי מאד בישראל ושגריר ארה"ב לשעבר בישראל, וניצלו אותה ליצירת המשך התכתבות במהלכה הם התחזו לשגריר תוך שימוש במייל אחר. בהמשך, הם שלחו לראש המכון קבצים העוסקים לכאורה בתוכנית הגרעין האירנית והשתמשו בלינק המשומש למתקפות דיוג (איתו ניתן לקצר כתובות URL).

בצ'קפוינט ציינו עוד, כי אותם התוקפים הגיעו למנהל בכיר בחברה ביטחונית מרכזית בישראל, וניסו לגנוב פרטים אישיים אודותיו. על מנת לעשות זאת, הם השתמשו בפלטפורמה לגיטימית שאליה ניתן להעלות צילומי מסמכים. במקרה זה, אותו מנהל אכן העביר לתוקפים את צילום הדרכון שלו. בנוסף, במסגרת המהלך התחזו התוקפים גם לפרופ' מוכר בתחום המזרח התיכון ודרכו שלחו מסמכים נוספים הקשורים באיראן.

עוד עולה מהמחקר כי התוקפים הקימו תשתית להשגת מספרי הטלפון של הקורבנות, כביכול כחלק מתהליך פתיחת המסמכים. השיטה עבדה כך: תחילה, לאחר לחיצה על המסמך המצורף למייל או לינק במייל, יקפוץ דף המבקש להכניס סיסמא זיהוי לחשבון המשתמש (סיסמא שעתידה להיות מועתקת על ידי התוקפים). לאחר מכן תופיע בקשה לאימות נוסף של המשתמש בצורת קוד SMS שישלח למכשיר המקושר לחשבון המייל. יש לציין שמס' הטלפון בתוך דף ההתחזות הותאם במיוחד עבוד יעד התקיפה – מספר הטלפון שלו.

'בחדרי' גם ברשתות החברתיות - הצטרפו!