ישראלים נפלו קורבן למתקפה המזוהה עם איראן

חוקרי חברת אבטחת המידע ESET גילו נוזקת Wiper (נוזקת השמדת מידע) חדשה ואת כלי הביצוע שלה, שניהם מיוחסים לקבוצת Agrius המזוהה עם איראן. מפעילי הנוזקה ביצעו מתקפת שרשרת אספקה כאשר ניצלו לרעה מפתח תוכנה ישראלית כדי לפרוס את נוזקת השמדת המידע שלהם המכונה 'פנטזיה', וכלי הביצוע הנקרא 'סנדלים'.

קבוצת התקיפה ניצלה תוכנה ישראלית בה עושים שימוש בתעשיית היהלומים. בחודש פברואר 2022 החלה הקבוצה להתמקד בחברות ישראליות מתחום משאבי האנוש, תעשיית היהלומים וחברת ייעוץ לטכנולוגיות מידע. הקבוצה ידועה בפעילותה ההרסנית וקורבנותיה נצפו גם בדרום אפריקה ובהונג קונג.

"הקמפיין נמשך כשלוש שעות, ובמסגרת הזמן הזו, לקוחות ESET כבר היו מוגנים באמצעות זיהויים שזיהו את 'פנטזיה' כנוזקת מחיקת מידע וחסמו את ביצועה. ראינו את מפתח התוכנה משחרר במהרה עדכונים נקיים תוך שעות ספורות מהמתקפה", מסביר אדם בורגר, אנליסט מודיעין איומים בכיר ב-ESET כי החברה יצרה קשר עם מפתחי התוכנה כדי להודיע להם על פרצה אפשרית, אך הפניה לא נענתה.

"ב-20 בפברואר 2022, קבוצת התקיפה פרסה כלים לקצירת אישורים בארגון בתעשיית היהלומים בדרום אפריקה, ככל הנראה כהכנה לקמפיין זה. ואז, ב-12 במרץ 2022, פתחה במתקפה על ידי פריסת הנוזקה וכלי הביצוע, תחילה לקורבן בדרום אפריקה, אחר כך לקורבנות בישראל, ולבסוף לקורבן בהונג קונג", מפרט בורגר.

פנטזיה, נוזקת השמדת המידע, מוחקת את כל הקבצים בדיסק או את כל הקבצים הכוללים סיומת מרשימה של 682 סיומות כולל כאלו ליישומי Microsoft 365 כמו Word, Excel ו-PowerPoint ופורמטים של וידאו, אודיו ותמונות. למרות שהנוזקה עובדת כך שההתאוששות והחקר יהפכו לקשים יותר, ההתאוששות של מערכת ההפעלה הינה אפשרית. הקורבנות נצפו חוזרים לפעילות תוך שעות ספורות.

Agrius היא קבוצת תקיפה חדשה המזוהה עם איראן ומתמקדת בקורבנות בישראל ובאיחוד האמירויות מאז 2020. תחילה הקבוצה פרסה וויפר שהתחפש לתוכנת כופר ולאחר מכן שינתה אותו לתוכנת כופר מלאה. Agrius מנצלת פגיעויות ידועות ביישומי אינטרנט כדי להתקין webshells, ולאחר מכן איסוף מידע ולאחר מכן פורסת את המטענים הזדוניים שלה.

'בחדרי' גם ברשתות החברתיות - הצטרפו!