דו"ח: גידול בהיקף הריגול הקיברנטי במזרח התיכון בכלל ובאיראן בפרט

היקף הריגול הקיברנטי עלה באחרונה במזרח התיכון בכלל ובאיראן בפרט, ובכלל זה כמה מבצעי ריגול דוגמת הנוזקה מאהדי – כך על פי חברת האבטחה הישראלית סקיורלרט (Seculert).

חברת האבטחה זיהתה את הנוזקה לפני חודש וחצי, יחד עם מומחי מעבדת קספרסקי (Kaspersky Lab), שמיוצגת בישראל על ידי פאואר תקשורת. הנוזקה, שקרויה על שמו של המשיח השיעי. היא סוס טרויאני שפרץ למאות מחשבים, חלקם בישראל. שתי החברות המשיכו לעבוד יחד בחקר הפיתוחים החדשים של נוזקות מבוססות מאהדי.

על פי סקיורלרט, היא זיהתה בחצי השנה האחרונה כ-150 קורבנות חדשים של נוזקות שמפתחי מאהדי שינו בהן את הקוד שלו על מנת להתחמק מזיהוי על ידי תוכנות אנטי וירוס. כך, אמרו החוקרים, המספר הכולל של מחשבים שהודבקו עומד על כמעט 1,000, מרביתם באיראן.

"החבר'ה האלה ממשיכים לעבוד", אמר אביב רף, ה-CTO של סקיורלרט. לדברי רואל שוואנברג, חוקר בכיר במעבדות קספרסקי, ההחלטה להמשיך בפעילות של מאהדי ו-"קרובי משפחתו" מרמזת שמפעילי הנוזקות אינם חוששים במיוחד להיתפס.

שוואנברג אמר, כי כמה מהווירוסים עוצבו כך שיפעלו בסתר, מאחר שהם הופכים להיות חסרי תועלת אם הם מתגלים. הוא הזכיר בהקשר זה את הסוס הטרויאני סטוקסנט (Stuxnet) – הנוזקה שהסבה ב-2010 נזק למערכות השו"ב שניטרו את הצנטריפוגות במתקנים להעשרת אורניום באיראן. "מאהדי הוא 'פחות מקצועי., הוא רץ על טכנולוגיה שזמינה באופן נרחב", ציין. "אם איכות מבצע הריגול שלך אינה כה גבוהה, אולי לא אכפת לך להתגלות. ברם, הדבר המפחיד הוא שגם לאחר שהתגלו, הנוזקות ממשיכות להיות יעילות בפעילותן".

הסוס הטרויאני מאהדי פועל מזה כמה חודשים ואוסף מידע, צילומי מסך וחומר רגיש מאישים שקשורים לתשתיות לאומיות קריטיות, גופים פיננסיים, שגרירויות ומוסדות אקדמיים. מומחי אבטחה איתרו בו רכיבים שמעידים, כי מקורו באיראן. מאהדי עומד במרכזו של קמפיין ריגול מקוון שפועל במזרח התיכון. הוא מופעל במסגרת קמפיין פריצה למערכות, שמתבסס על רשתות חברתיות ופוגע במטרות נקודתיות שתוכננו מראש. מאהדי וגרסאות שלו נמצאו בחמש מדינות במזרח התיכון, על פי רוב באיראן, ובמקרים אחדים הם זוהו בגרמניה ובארצות הברית. חוקרי קספרסקי וסקיורלט העריכו שהנוזקות הללו גרמו לגניבת ג'יגה-בייטים רבים של מידע.

רף אמר, כי הוא חושד שקמפיין הריגול נוהל על ידי האקטיביסטים (האקרים אקטיביסטים), שמומנו על ידי גוף ממשלתי או שסיפקו את המידע שאספו למדינה כלשהי, מסיבות אידיאולוגיות. הוא סירב לומר איזו מדינה יכולה להיות מעורבת בכך.

שתי החברות כינו את קמפיין הריגול ואת הנוזקה על שמו של מאהדי, הגואל נביא האיסלאם, לאחר שנמצאו ראיות המצביעות על כך שהתוקפים השתמשו בתיקייה בשם זה, שפתיחתה נדרשת להפעלת הפרויקט. המפתחים אף כללו בנוזקה קובץ טקסט בשם mahdi.txt, שהדביקה את המחשבים שהיוו יעד לריגול.

פריצה נוספת אירעה באחרונה למחשבים של חברת הנפט סעודי ארמקו (Saudi Aramco). השבוע מסרה החברה, כי הפריצה פגעה ב-30 אלף תחנות עבודה וציינה שהיא חיסלה את המתקפה לאחר שניקתה את כל מערכות ה-IT שלה והשיבה אותן לפעולה שוטפת.