"כנופיית הסייבר עזה" תקפה יעדים בישראל וברשות הפלסטינית

נחשפה קבוצת האקרים שערכו קמפיין ריגול סייבר כנגד משתמשים וארגונים בעלי אינטרסים פוליטיים במזרח התיכון, ביניהם בישראל.

על פי חוקרי מעבדת קספרסקי, מדובר בקמפיין ריגול בשם SneekyPastes, אותו הפעילה קבוצת האקרים בשם Gaza Cybergang (כנופיית הסייבר עזה), והיא הצליחה לפגוע בגורמים בישראל, בשטחי הרשות הפלסטינית, בירדן ובלבנון.

חוקרי קספרסקי ניתחו את קמפיין הריגול בסייבר, אשר כוון כנגד משתמשים וארגונים בעלי אינטרסים פוליטיים במזרח התיכון. קבוצת Gaza Cybergang מורכבת מכמה ישויות נפרדות, בעלות רמות תחכום שונות בסייבר, והיא עושה שימוש בכתובות דואר אלקטרוני זמניות, על מנת להפיץ פישינג נגוע. בשלב הבא התבצעה הורדה מדורגת של הנוזקה דרך כמה אתרים חינמיים. דרך הפעולה החסכונית, אבל היעילה הזו, סייעה לקבוצה להגיע להיקף מרשים של 240 קורבנות בפרופיל גבוה ב-39 מדינות ברחבי העולם, כולל גורמים דיפלומטיים, גופי מדיה ואקטיביסטים.

קבוצה דוברת ערבית, המורכבת מאוסף של קבוצות נפרדות בעלות מוטיבציה פוליטית

Cybergang היא קבוצה דוברת ערבית, המורכבת מאוסף של קבוצות נפרדות בעלות מוטיבציה פוליטית לתקיפה של מטרות במזרח התיכון ובצפון אפריקה, עם מיקוד מיוחד בשטחי הגדה. מעבדת קספרסקי זיהתה לפחות שלוש קבוצות פעילות, שכולן בעלות מטרות ויעדים דומים: ריגול סייבר של גורמים הקשורים לפוליטיקה במזרח התיכון, אלא שלשלוש הקבוצות היו כלים, טכניקות ורמות תחכום שונים.

הקבוצות הן Operation Parliament, הפועלת מאז 2015, ו-Desert Falcons, שפועלת מאז 2018. שתי אלו הן מתוחכמות יותר. הקבוצה השלישית, בעלת רמת התחכום הנמוכה יותר, ידועה בשם MoleRats, והיא פעילה כבר מ-2012. באביב אשתקד, הקבוצה הזו הוציאה לפועל את SneakyPastes. זו החלה במתקפת פישינג סביב נושא פוליטי, והיא הופצה באמצעות כתובות דוא"ל ודומיינים זמניים. הקישורים הזדוניים שנלחצו, או הקבצים המצורפים שנפתחו, התקינו את הנוזקה במכשירי הקורבנות.

על מנת להימנע מזיהוי ולהחביא את מיקום שרת הפיקוד והשליטה, נעשתה הורדה מדורגת של נוזקה נוספת אל מכשירי הקורבנות, דרך כמה אתרים חינמיים לשימוש, ביניהם Pastebin ו-Github. הנוזקה שהוטמעה השתמשה ב-PowerShell ,VBS ,JS וב-net., על מנת להבטיח עמידות בתוך המערכות שהודבקו. השלב האחרון בחדירה היה טרויאני לגישה מרחוק, אשר יצר קשר עם שרת הפיקוד והשליטה, ואז אסף, כיווץ, הצפין וטען, מסמכים וגליונות חישוב רבים – גנובים. השם SneakyPastes נגזר מהשימוש הנרחב שהתוקפים עשו באתרים לשיתוף קוד (Paste sites), כדי להחדיר את הנוזקה בהדרגה אל מערכות הקורבן.

חוקרי מעבדת קספרסקי פעלו בשיתוף רשויות אכיפה במדינות השונות, כדי לחשוף את מחזור ההתקפה והחדירה המלאים של SneakyPastes. מאמצים אלו הביאו לא רק להבנה מלאה של הכלים, הטכניקות והמטרות של הפעילות – אלא גם להפלת חלק משמעותי מהתשתית שלה. פעילות SneakyPastes רשמה את שיא פעילותה בין אפריל לאמצע נובמבר 2018, כשהיא מתמקדת ברשימה קטנה של גופים דיפלומטיים וגופי ממשל, גופים ללא מטרות רווח וגופי מדיה. מהמחקר התגלה כי 240 מטרות בפרופיל גבוה ב-39 מדינות ברחבי העולם נפלו קורבן למתקפה. רובם ממוקממים בשטחים, בירדן, בישראל ובלבנון. מספר הקורבנות בשטחי הרשות היה הגבוה ביותר – 110. בירדן זוהו 25 קורבנות ובישראל – 17 קורבנות. הקורבנות כוללים שגרירויות, גופי ממשל, גופי מדיה ועיתונאים, אקטיביסטים, מפלגות פוליטיות ואנשים פרטיים, וכן מוסדות חינוך, בנקאות ושירותי בריאות.

"החשיפה של Desert Falcons ב-2015 היוותה נקודת מפנה באופק האיומים של APT (איום מתקדם ועקבי ומתמשך) דובר הערבית שהיה מוכר עד אז", אמר אמין הסביני, ראש מרכז מחקר המזרח התיכון, צוות מחקר וניתוח בינלאומי (GReAT) במעבדת קספרסקי.

לדבריו, "כיום אנו יודעים כי הקבוצה המייסדת, Gaza Cybergang, תוקפת מטרות עם אינטרסים במזרח התיכון כבר מאז 2012. לרוב, הפעילות מסתמכת על אופרציה בתחכום נמוך יחסי, מה שבהחלט מוכיח כי תשתית או כלים מתקדמים אינם תנאי להצלחה". הסביני הוסיף כי "אנו צופים כי הנזק שיגרמו שלוש הקבוצות יתעצם, וכי ההתקפות שלהן יתרחבו לתחומים נוספים – מעבר לנושא הפלסטיני".