אין חדש בסייבר: איראן תוקפת את ישראל, רוסיה – את אוקראינה

בעוד העולם מתאושש מפצעי הקורונה ונערך למיתון כלכלי, העסקים בסייבר נמשכים כרגיל. לפי חוקרי ESET, קבוצת רוסיות ממשיכות במתקפות נגד אוקראינה, וקבוצות בחסות איראן תקפו במזרח התיכון בכלל ובישראל – בפרט.

חוקרי חברת אבטחת המידע פרסמו היום (ג') דו"ח הסוקר את הפעילות של קבוצות תקיפה נבחרות שפעלו בשליש האחרון (ספט'-דצמ') של 2022.

לפי הדו"ח, קבוצות המזוהות עם איראן המשיכו לתקוף בסייבר, כאשר מלבד חברות ישראליות, קבוצת פולוניום (POLONIUM) החלה לתקוף גם חברות-בת זרות של חברות ישראליות. הקבוצה ערכה את המתקפות עם ה"דלת האחורית" המותאמת אישית שלה.

באוקטובר האחרון נחשף קמפיין ריגול נגד ארגונים ישראליים, המבוצע על ידי קבוצת תקיפה מלבנון, אשר מתואמת בפעולותיה עם איראן. לפי חוקרי ESET, הקמפיין שהחל בספטמבר 2021 – התמקד ביותר מתריסר ארגונים בישראל, העוסקים בהנדסה, בטכנולוגיות מידע, במשפט, בתקשורת, בשירותים בחברתיים, בשיווק ובמדיה. לדברי החוקרים, קמפיין הריגול כלל דלתות אחוריות מותאמות אישית, אשר לא תועדו בעבר. עוד נעשה שימוש בכלי ריגול שנפרסו בישראל.

קבוצות ההאקרים ופועלן

פולוניום היא קבוצת האקרים מלבנון, שעובדת בחסות משרד המודיעין והביטחון האיראני. היא נחשפה ביוני 2022, כשתקפה בסייבר יותר מ-20 מטרות בישראל, כולל ארגונים מהמגזרים הממשלתי, הציבורי והביטחוני, ובעיקר ארגוני תשתיות קריטיות. עוד תקפו ההאקרים ארגון ממשלתי לבנוני.

קבוצת Muddy Water, ציינו החוקרים, פעלה נגד יעדים במזרח התיכון, וככל הנראה הצליחה לפגוע בספקית שירותי אבטחה. הקבוצה תקפה עם דלתות אחוריות מבוססות כלי קוד פתוח, בין השאר יעדים במצרים ובסעודיה. עוד תקפה הקבוצה חברה תעשייתית בישראל.

בינואר 2022 סייברקום, מפקדת פיקוד הסייבר של צבא ארה"ב, פרסמה יותר מתריסר דגימות של נוזקות השייכות לקבוצת Muddy Water.

בדצמבר 2021 פורסם כי האקרים איראנים תקפו שורה של מפעילות טלקום וחברות המספקות שירותי IT במזרח התיכון ובאסיה, כולל בישראל. הקבוצה, המכונה גם TEMP.ZAGROS, או Seedworm,

מוכרת למקצועני אבטחה מאז 2015 ומאז 2020 הם משקיעים יותר מאמצים בלא להתגלות. הם אף עברו ממתקפות רחבות היקף לפגיעה ביעדים איכותיים ונקודתיים. חברי הקבוצה איימו בעבר לרצוח חוקרי אבטחה שהתחקו אחר פעילותם. Muddy Water הוא גוף במשרד המודיעין והביטחון האיראני, MOIS, זרוע של מנגנון הביטחון, המתמקדת במעקב פנימי אחר מתנגדי המשטר ופעילים נגד המשטר בחו"ל.

עוד ועוד מתקפות סייבר רוסיות על אוקראינה ומענה להן. צילום: BigStock

לפי החוקרים, בשליש האחרון של 2022, קבוצות APT המזוהות עם רוסיה המשיכו לפעול במיוחד נגד אוקראינה, תוך פריסת נוזקות מסוג Wiper וכופרות. אתמול דיווחנו כי החוקרים זיהו את קבוצת תולעת חול (Sandworm) הידועה לשמצה, באמצעות wiper חדש נגד חברה במגזר האנרגיה. המתקפה התרחשה באוקטובר, באותה תקופה שבה החלו כוחות רוסיה לשגר טילים לעבר תשתיות אנרגיה. עוד הקבוצה עשתה שימוש בכופרות, אלא שהמטרה לא הייתה סחיטה כספית – אלא השמדת נתונים.

גם הסינים לא ישבו בחיבוק ידיים בסייבר. כך, החוקרים זיהו מתקפת פישינג ממוקדת של קבוצת התקיפה MirrorFace שכוונה נגד מטרות פוליטיות ביפן. עוד הם הבחינו בשינוי הדרגתי במיקוד של כמה קבוצות המזוהות עם סין, כמו קבוצת Goblin Panda. החוקרים גילו בנובמבר דלת אחורית חדשה של הקבוצה, שקראו לה TurboSlate – בארגון ממשלתי באיחוד האירופי. מוסטנג פנדה המשיכה לתקוף ארגונים אירופיים: בספטמבר האחרון החוקרים זיהו מתקפה שלה על ארגון בתחום האנרגיה וההנדסה בשוויץ.

קבוצות המזוהות עם צפון קוריאה, ציינו החוקרים, השתמשו בפרצות ישנות כדי לפגוע בחברות קריפטו ובבורסות בחלקים שונים של העולם. באופן מעניין, Konni הרחיבה את רפרטואר השפות שבהן היא משתמשת במסמכי ההטעיה שלה והוסיפה ל"היצע" שלה את השפה האנגלית, מה שאומר שייתכן שהקבוצה לא כיוונה ליעדים הרוסיים והדרום קוריאניים ה"רגילים" שלה.