חוקרי ESET חשפו קמפיין סייבר חדש של קבוצת MuddyWater האיראנית, הפועלת מטעם משרד המודיעין של איראן ונחשבת לאחת מקבוצות הריגול הפעילות ביותר במזרח התיכון. הקמפיין, שכוון במיוחד לארגוני תשתית בישראל וליעד נוסף במצרים, כלל פגיעה בחברות טכנולוגיה, גופים הנדסיים, מפעלי ייצור, רשויות מקומיות ומוסדות אקדמיים. מדובר במאמץ רוחבי לפגיעה במערכות חיוניות ובארגונים בעלי השפעה כלל מערכתית.
במסגרת החקירה זוהו כלים חדשים שלא תועדו בעבר, שמיועדים לשפר את ההסוואה, איסוף המידע והשליטה של התוקפים במערכות שנפרצו. בין הכלים נמצאה דלת אחורית חדשה בשם MuddyViper, מספר גונבי סיסמאות מתקדמים, וכן קובץ זדוני שהוסווה כמשחק מחשב פשוט במטרה לעכב את גילויו. ממצאים אלה מצביעים על יכולת הולכת וגדלה של התוקפים לפעול לאורך זמן בתוך הארגון ולבצע איסוף נתונים משמעותי מבלי לעורר חשד.
שיטות מתקדמות: הודעות דואר, טעינת קוד לזיכרון והתחזות לכלים לגיטימיים
עוד באתר:
החדירה בוצעה בעיקר באמצעות הודעות דואר אלקטרוני ממוקדות שנראו תמימות, והכילו קבצי PDF עם קישורים להורדת תוכנות שליטה מרחוק לכאורה לצורכי תמיכה טכנית או עדכון תוכנה. בפועל, מדובר בכלים זדוניים שהורדו מאתרי אחסון חינמיים והותקנו על ידי הקורבנות מבלי שהם ידעו שהם חלק משרשרת תקיפה רחבה.
אחת היכולות הבולטות היא מטען זדוני שמוסווה כמשחק מחשב נוסטלגי. מאחורי ההסוואה התמימה מסתתרת מערכת מתוחכמת שמטעינה את מרכיבי התקיפה ישירות לזיכרון המחשב ללא כתיבה לדיסק, מה שמקשה מאוד על מערכות זיהוי ואיתור ומאפשר לתוקפים לבצע גניבת מידע והעברת קבצים ללא השארת עקבות. הדלת האחורית מאפשרת לתוקפים לאסוף פרטי מערכת, להריץ פקודות מרחוק, להעלות ולהוריד קבצים ולגנוב פרטי התחברות מתוך הדפדפנים, ומספקת תחנת שליטה פנימית בתוך הארגון לאורך זמן.
מממצאי החקירה עולה כי בחלק מהמקרים פעלה MuddyWater במקביל לקבוצה איראנית נוספת, מה שמעיד על תיאום בין מספר גורמי תקיפה והרחבת היקף הפעולה. נתון זה מחזק את ההערכה שמדובר במערך תקיפה מדינתי ולא בקבוצה עצמאית.
אבנר מימון, מנכ"ל קומסקיור, המפיצה הבלעדית של ESET בישראל, מסביר: "חשיפת הקמפיין הזה ממחישה עד כמה קבוצות התקיפה האיראניות משקיעות בשיפור היכולות שלהן ובשכלול דרכי ההסוואה. השילוב בין כלים חדשים, התחזות מתוחכמת ותכנון מדויק של כל שלבי התקיפה הוא סימן אזהרה לכל ארגון שמפעיל מערכות חיוניות או מחזיק מידע רגיש. זוהי תזכורת לכך שמערכי ההגנה חייבים להיות רב שכבתיים ולכלול ניטור מתמשך, בקרה על הרשאות ומשמעת אבטחת מידע גבוהה. מדובר באיום שאינו רק טכנולוגי אלא גם אסטרטגי, ויש להיערך אליו ברמת הנהלה ולא רק ברמת מערכות המידע".
