מיקרוסופט גילתה: האקרים איראנים תקפו חשבונות קבלני ביטחון – גם בישראל

על פי הענקית מרדמונד, האקרים המקושרים לאיראן התמקדו בקבלני ים וביטחון, ופגעו בחשבונות משתמשים במפרץ הפרסי ובישראל

איראן על כוונת הסייבר.

האקרים ש"תומכים באינטרסים הלאומיים של איראן" תקפו חשבונות משתמשים הקשורים לקבלני ביטחון אמריקנים וישראלים, וחברות ימיה בינלאומיות, כך לפי חוקרי מיקרוסופט, בדו"ח שפרסמו אתמול (ב').

המתקפות, שהחלו ביולי, כוונו לחשבונות Office 365 של יותר מ-250 משתמשי מיקרוסופט, כך מסרה החברה. פחות מעשרים מהמתקפות הצליחו.

המתקפות כוונו לחשבונות Office 365 של יותר מ-250 משתמשיה. מיקרוסופט. צילום: BigStock

המתקפות כוונו לחשבונות Office 365 של יותר מ-250 משתמשיה. מיקרוסופט. צילום: BigStock

בהיבט המגזרי, החשבונות שהותקפו היו של עובדים בחברות ביטחוניות המספקות שירותים לאיחוד האירופי, כמו גם מערכות מידע גיאוגרפיות ונמלים במפרץ הפרסי. ההאקרים ניסו לפרוץ לחשבונות באמצעות טכניקה הנקראת "ריסוס סיסמאות", שבה הם עוברים במהירות בין סיסמאות שונות, בניסיון לגשת לחשבון ולפתוח אותו.

לפי חוקרי מיקרוסופט, הפעילות של ההאקרים האלה "תומכת, ככל הנראה, באינטרסים הלאומיים של הרפובליקה האסלאמית של איראן", וכי הטכניקות והיעדים של המתקפות תואמים קמפיינים של מתקפות אחרות שבוצעו בחסות איראן.

"אנחנו מעריכים כי הפעילות הממוקדת הזו תומכת במעקב של ממשלת איראן אחר שירותי אבטחה של יריבים של איראן, כמו גם אחר חברות שילוח ימי במזרח התיכון. המתקפות נועדו לשפר את תכניות החירום של איראן", ציינו החוקרים.

לדבריהם, "בהינתן במתקפות הסייבר והמתקפות של צבא איראן בעבר – כנגד מטרות ימיות, מיקרוסופט מאמינה שפעילות זו מגדילה את הסיכון לחברות במגזרים אלה".

היסטוריה ארוכה של רדיפת ותקיפת קבלני ביטחון וחברות ימיות

מומחי הגנת סייבר, שאינם ממיקרוסופט, ציינו כי להאקרים איראנים הפועלים בחסות המדינה, יש היסטוריה ארוכה של רדיפה ותקיפה של קבלני ביטחון וחברות ימיות של מדינות יריבות. כך, ב-2020, משרד המשפטים האמריקני הגיש כתבי אישום נגד שלושה האקרים איראנים, אשר ניסו לגנוב נתונים קריטיים מחברות תעופה וחלל אמריקניות – עבור ממשלת איראן.

החוקרים גם העריכו כי קבוצות פריצה הקשורות לאיראן, התחזו למפעילי כופרה, כאשר תקפו מתקן ימי של איחוד האמירויות הערביות – יריבתה של איראן. היריבים האזוריים, בתגובה, תקפו גם את נמלי איראן.

הממצאים של חוקרי האבטחה של הענקית מרדמונד מהדהדים שני מחקרים בעלי ממצאים דומים של שתי חברות הגנת סייבר ישראליות.

בתגובה לחשיפה של מיקרוסופט ציין ד"ר מייק דהאן, מומחה לטכנולוגיה וחברה, מרצה במחלקה לתקשורת ומנהל ומדיניות ציבורית במכללה האקדמית ספיר, כי "בניגוד להתכתשויות הסייבר הקבועות בין ישראל ואיראן, המתקפה הזו מעט שונה. על פי מיקרוסופט, המתקפה כוונה נגד משתמשי אופיס 365 הקשורים לחברות אמריקניות וישראליות בתחום הפיתוח הביטחוני, חברות בתחום הימאות (Maritime Companies), וחברות בתחום פיתוח לוויני. טורגתו כ-250 חברות, בין היתר חברות ונותני שירותים ישראליות, אמריקניות ואירופאיות בתחום הפיתוח הביטחוני, וניסיונות חדירה לנמלים במפרץ הפרסי, כאשר פחות מ-20 חשבונות נפרצו לבסוף. התוקפים – קבוצת האקרים בעלת הכינוי DEV-0343, המקושרת לאיראן – עשו שימוש במתקפה לא מתוחכמת במיוחד, password spray attack. כאמור, פחות מ-20 חשבונות נפרצו. הסימנים מצביעים על כך שהמתקפה נועדה בעיקר להשיג את הקניין הרוחני של חברות אלו, ועל פי החוקרים של מיקרוסופט, כנראה כדי לעבות את המחקר הלוויני האיראני".

מרגלים וגונבים מידע כל העת

בשבוע שעבר פרסמנו כי נחשפה תשתית ריגול מתוחכמת, המיוחסת לקבוצת תקיפה איראנית. הקבוצה פעלה לטובת ריגול וגניבת מידע רגיש בקרב יעדים שונים בישראל, ברחבי המזרח התיכון וכן בארה"ב, רוסיה ואירופה. את הקבוצה גילו חוקרי סייבריזן (Cybereason). קמפיין התקיפה הרחב מיוחס לקבוצת תקיפה איראנית המכונה MalKamak, שפעלה מתחת לרדאר משנת 2018 ולא נחשפה עד היום. התוקפים פעלו בצורה חשאית ומדוקדקת, וביקשו לחדור ליעדים אסטרטגיים, בעיקר בקרב חברות וארגונים העוסקים בתקשורת נתונים, טכנולוגיות אוויריות וחקר החלל.

ההאקרים האיראנים החתלתולים הסיאמיים. עיבוד אילוסטרציה, מקור: BigStock

ההאקרים האיראנים החתלתולים הסיאמיים. עיבוד אילוסטרציה, מקור: BigStock

באוגוסט השנה חשפה קלירסקיי (ClearSky) הישראלית כי קבוצת האקרים איראנית תקפה חברות ישראליות רבות, כולל חברות IT. קבוצת התקיפה האיראנית החתלתולים הסיאמיים, המכונה גם Hexane/Lyceum, החלה לפעול לפני שלוש שנים. לפי חוקרי חברת הגנת הסייבר הישראלית, הקבוצה התמקדה בעבר בתקיפת חברות תשתית, נפט, גז וחברות טלקום באפריקה. ב-2019 היא החלה לפעול גם במזרח התיכון. ברבעון הראשון השנה התמקדה הקבוצה בתקיפות של חברות בתוניסיה. במאי השנה זיהו חוקרי קלירסקיי כי קבוצת החתלתולים הסיאמיים החלה לתקוף חברות בישראל. ביולי 2021 החוקרים זיהו גל נוסף של תקיפות, שהתבצע מול חברות ישראליות.

"הקבוצה פועלת לקיבוע אחיזה ברשת המותקפת, לצורך השגת יכולת פעולה מתמשכת, בלא הפרעה", ציינו החוקרים והוסיפו כי וקטור החדירה לחברות המותקפות הוא בעיקר באמצעות משלוח מסמכי פישינג, הטומנים בחובם נוזקה לעובדים.

חברות סייבר נוספות שחקרו את פעילות הקבוצה, מצאו דמיון בין הפעילות של קבוצת החתלתולים הסיאמיים, לבין הפעילות של שתי קבוצות תקיפה איראניות – APT33 ו-APT34. "אנו מעריכים", כתבו חוקרי קלרסקיי בדו"ח, "כי מתקפות אלו, והמיקוד של ההאקרים בחברות IT ובחברות תקשורת, הם אמצעים של הקבוצה לביצוע קמפיין מודיעין וריגול המבוסס על תקיפת שרשרת אספקה בישראל. המטרה של הקבוצה היא חדירה לחברות IT, אשר דרכן הן יוכלו 'לדלג' לרשתות של לקוחות אותן חברות".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים