פייסבוק זיהתה וסיכלה פעולתה של קבוצת האקרים איראנים דרכה

פייסבוק חשפה כי חיבלה בקמפיין ריגול אונליין "מתוחכם", שנערך על ידי האקרים איראניים ואשר מיקד כ-200 אנשי צבא וחברות בתחום הביטחון והחלל בארה"ב, בבריטניה ובארצות אחרות באירופה. ענקית הרשתות החברתיות בישרה על המהלך שלה ביום ה', ועידכנה כי ההאקרים עשו שימוש בדמויות מזויפות בפלטפורמה שלה לצורך תכניתם, שכאמור, שובשה על ידיה. החשבונות המזויפים נחסמו מפעילות בפייסבוק. לא ידוע אם התוקפים הצליחו לגרום נזק או מה היקפו.

מבצע בעל משאבים טובים ומתמשכים

פייסבוק דיווחה שמאחורי ההתקפות עומדת קבוצה המכונה Tortoiseshell (הידועה גם בכינוי חתלתול אימפריאלי). הענקית ממאנלו פארק הגיעה למסקנה זו בהתבסס על העובדה שזיהתה כי נעשה שימוש בטכניקות דומות בקמפיינים קודמים שיוחסו לקבוצת האיומים הזו, שבעבר הייתה ידועה כמתמקדת בתעשיית טכנולוגיית המידע בערב הסעודית, מה שמצביע על הרחבה לכאורה של פעילותה הזדונית.

"קבוצה זו השתמשה בטקטיקות זדוניות שונות כדי לזהות את יעדיה ולהדביק את המכשירים שלהם בתוכנות זדוניות, כדי לאפשר ריגול", אמרו מייק דוויליאנסקי, ראש חקירות ריגול ברשת, ודוד אגרנוביץ', מנהל תחום שיבוש איומים בפייסבוק. "לפעילות זו היו סימני ההיכר של מבצע בעל משאבים טובים ומתמשכים, תוך הסתמכות על אמצעי אבטחה מבצעיים חזקים יחסית, כדי להסתיר מי עומד מאחוריה", הוסיפו השניים.

הניתוח של פייסבוק על תשתית התוכנה הזדונית של Tortoiseshell מצא כי חלק מערכת הכלים שלהם פותחה על ידי MRA (ר"ת Mahak Rayan Afraz), חברת IT בטהרן, שקשורה לחיל משמר המהפכה האיסלמי (IRGC).

"חסמנו את שיתוף הדומיינים הזדוניים בפלטפורמה"

"כדי לשבש את הפעולה הזו, חסמנו את שיתוף הדומיינים הזדוניים בפלטפורמה שלנו, הורדנו את חשבונות הקבוצה, והודענו לאנשים שלדעתנו מוקדו על ידי שחקנית האיומים הזו", אמרו דוויליאנסקי ואגרנוביץ'.

על פי החברה, ההתקפות היו חלק מקמפיין חוצה פלטפורמות גדול בהרבה, כאשר השחקנים הרעים ניצלו את פייסבוק כווקטור הנדסי-חברתי לשם הפניית הקורבנות לדומיינים מזויפים, באמצעות קישורים זדוניים.

לשם כך, השתמשו Tortoiseshell בדמויות פיקטיביות מתוחכמות שנועדו בכדי ליצור קשר עם היעדים, ושלעתים היו בקשרים עימם במשך חודשים לשם בניית אמון.

הפרופילים הללו התחזו כמגייסים ועובדי חברות ביטחון וחלל, בעוד שהיו גם כאלו שטענו כי הם עובדים בבתי חולים, בתעשיות הרפואה, בתקשורת, בארגונים לא ממשלתיים ובחברות תעופה.

הדומיינים המזויפים כללו גרסאות-דמה לאתרי חיפוש עבודה של משרד העבודה בארה"ב ולאתרי גיוס אחרים, ונועדו למשוך אנשים בעלי עניין בתעשייה האווירית והביטחונית, במטרה הסופית לבצע גניבת אישורים ולהשיג נתונים מחשבונות דואר אלקטרוני השייכים למטרות המתקפה.

בנוסף לכל אלו התוקפים האיראנים גם תכננו את פעילותם כדי לשאוב מידע על הרשתות אליהן התקשרו המכשירים והתוכנה שהותקנה עליהם, לפרוס סוסים טרויאניים עם גישה מלאה מרחוק (RAT), כלי סיור במכשירים ועוד.