ישראל ממשיכה להיות יעד עיקרי של קבוצות ריגול איראניות

חברת אבטחת המידע ESET משחררת את דוח האיומים האחרון שלה העוסק בפעילויות של קבוצות תקיפה מתקדמות (APT) שחוקרי החברה עקבו אחריהם, חקרו וניתחו את פעילותן בין החודשים אפריל 2023 עד ספטמבר 2023.

נתחיל מישראל:

קבוצות המזוהות עם איראן ומדינות מזרח תיכוניות אחרות המשיכו לפעול בהספק גבוה, והתמקדו בעיקר בריגול וגניבת נתונים מארגונים בישראל.

• קבוצות התקיפה האיראניות OilRig ו MuddyWater-המשיכו לתקוף קורבנות בישראל במטרה לרגל ולגנוב מידע.
• OilRig נצפתה מפתחת ומפעילה תוכנות ריגול כמו  OilForceGTXו-Mango כדי לתקוף רשויות מקומיות בישראל. הם משתמשים במיילים לניסיונות פישינג ממוקדים הכוללים מסמכים זדוניים עם פקודות מאקרו כקו החדירה הראשוני. ההאקרים מנסים לחדור בעיקר למחשבים של עובדי ממשל מקומי ולגנוב מידע. פעולות אלה מדאיגות מכיוון שהן עלולות לאפשר לאיראן לרגל אחרי ישראל ולגנוב מידע רגיש.
• MuddyWater הפעילה תוכנת ריגול מבוססת PowerShell כנגד יעד שזהותו אינה ידועה בישראל, ככל הנראה כaccess development team-, קבוצת תוקפים האחראית על פריצה ראשונית למערכות מחשב ותשתיות עבור קבוצת תקיפה איראנית מתקדמת יותר.

בחודש אפריל 2023, חוקרי ESET איתרו את קבוצת MuddyWater, המזוהה עם איראן, ממשיכה להשתמש בתשתית שליטה ובקרה ששימשה בעבר הן את MuddyWater והן את DarkBit בהתקפות כנגד יעד בלתי מזוהה בישראל. לאחר שהצליחה לחדור, הקבוצה הפעילה תסריט שהוריד תוכנה זדונית מסוג סוס טרויאני מבוסס PowerShell משרתי השליטה והבקרה שלה. מטרת הסוס הטרויאני היא לאפשר גישה מתמשכת למערכת הקורבן לצורך איסוף מידע נוסף ופוטנציאל לניצול נוסף. פעילות זו עולה בקנה אחד עם מאמציה המתמשכים של MuddyWater לפגוע בארגונים בישראל.

• קבוצת האיומים מהמזרח התיכון POLONIUM ממשיכה להסתמך על תוכנות ריגול מבוססות PowerShell ו-Python  כדי לתקוף ארגונים בישראל למטרות ריגול וגניבת מידע. הם הצליחו להחדיר סוסים טרויאניים חדשים שפיתחו, כמו CreepyPie ו-CreepySnail, לתוך רשתות מחשבים של יעדיהם. הסוסים הטרויאניים איפשרו להם לאסוף נתונים ומסמכים מכל המחשבים המודבקים ולהעביר אותם בחשאי לשרתים בשליטתם. בנוסף, POLONIUM ניצלו תוכנות לגיטימיות על מנת לגנוב מידע רגיש ממאגרי נתונים בארגונים שפרצו אליהם. פעולות הריגול המתוחכמות האלה מאפשרות לקבוצה לאסוף מודיעין מהארגונים הישראליים ולגרום נזק משמעותי.

ישראל נותרת יעד עיקרי עבור קבוצות סייבר ריגול איראניות ומהמזרח התיכון המנסות לגנוב מידע ולהשיג מודיעין. הם מפתחים ברציפות כלים, תוכנות ריגול והתקפות חדשים הממוקדים ביעדים בישראל.

ובשאר העולם:

הקבוצות Sednit ו-Sandworm המזוהות עם רוסיה, קבוצת Konni המזוהה עם צפון-קוריאה, והקבוצות Winter Vivern ו-SturgeonPhisher שלהן אין שיוך גיאוגרפי, ניצלו הזדמנויות לשימוש בפרצות ב-WinRAR, Roundcube, Zimbra ו-Microsoft Outlook כדי לפגוע בארגונים ממשלתיים שונים – לא רק באוקראינה, אלא גם באירופה ובמרכז אסיה.

בנוגע לגורמי איום המזוהים עם סין, נראה כי GALLIUM ניצלו חולשות בשרתי Microsoft Exchange או שרתי IIS, וכך הרחיבו את פעילותן מפגיעה במפעילי שירותי תקשורת לפגיעה בארגונים ממשלתיים ברחבי העולם.

קבוצות המזוהות עם רוסיה ממשיכות לכוון את מתקפותיהן לאוקראינה, שם גילינו גרסאות חדשות של נוזקות מחיקה ידועות כמו RoarBat ו-NikoWiper, יחד עם נוזקת מחיקה חדשה אותה כינינו בשם SharpNikoWiper, כשכולן מופעלות ע״י Sandworm. מסקרן לראות שבעוד שקבוצות אחרות כמו Gamaredon, GREF ו-SturgeonPhisher מכוונות את מתקפותיהן למשתמשי טלגרם כדי לנסות ולגנוב מהם נתונים, או לפחות נתוני מטא הקשורים לטלגרם, Sandworm משתמשת בטלגרם באופן פעיל למטרות התערבות פעילה כדי לפרסם את פעולותיהן במרחב הסייבר. עם זאת, גם כיום הקבוצה הפעילה ביותר באוקראינה היא Gamaredon, ששכללה באופן משמעותי את יכולות איסוף הנתונים שלה באמצעות פיתוח מחדש של כלים קיימים והפצה של כלים חדשים.

קבוצות מזוהות עם צפון קוריאה ממשיכות להתמקד ביפן, בדרום קוריאה ובגופים דרום קוריאניים, ומשתמשים בהודעות פישינג ממוקד שנוצרו באופן מוקפד. הקמפיין הפעיל ביותר של Lazarus הוא Operation DreamJob, שפיתה קורבנות באמצעות הצעות עבודה מזויפות למשרות יוקרתיות. הקבוצה מוכיחה את יכולתה ליצור נוזקות באופן מתמיד לכל מערכות ההפעלה הנפוצות.

חוקרינו גילו גם את פעולותיהן של שלושה קבוצות המזוהות עם סין שלא היו מוכרות בעבר: DigitalRecyclers, שפרצה מספר פעמים לארגון ממשלתי באיחוד האירופי; TheWizards, שביצעו מתקפות ״גורם זדוני בתווך״ (Adversary in The Middle); ו-PerplexedGoblin שתקפו ארגון ממשלתי אחר באיחוד האירופי.

'בחדרי' גם ברשתות החברתיות - הצטרפו!