"האקרים איראניים מנצלים חולשות באופיס"
חברת הסייבר קלירסקיי חושפת כי קבוצה בשם MuddyWater, שלדבריה ככל הנראה מקושרת למודיעין האיראני, תקפה מדינות וארגונים במרכז אסיה תוך שהיא מנצלת חולשות אבטחה בתוכנות הפופולריות של מיקרוסופט. "קיימת אפשרות ריאלית שהם יתקפו גם ארגונים בישראל"
התוקפים מהרפובליקה האיסלאמית מצליחים לנצל חולשות אבטחה בתוכנות של מיקרוסופט אופיס (הכוללות את וורד, אקסל ועוד), מתחזים לגורמים רשמיים ומפתים את יעדי התקיפה לפתוח מסמכי וורד מזוייפים, הכוללים נוזקה איראנית. אוהד זיידנברג, חוקר סייבר בכיר בקלירסקיי, אמר בשיחה עם ynet כי חולשות האבטחה המדוברות באופיס תוקנו כבר ב-2017, אך ברחבי העולם מסתובבות גרסאות ישנות או ללא רישיון שלא מקבלות עדכונים.
בדיקה של חברת קלירסקיי העלתה כי רק שלושה מתוך 64 מנועי אנטי-וירוס הצליחו לזהות את הנוזקה האיראנית. בחברה אומרים כי תקיפות הסייבר התבצעו בעיקר נגד מדינות וארגונים במרכז אסיה, למשל חברות טלפוניה, ארגונים צבאיים ותעשיות ביטחוניות. "חשוב לציין", אומרים בחברה, "כי בעבר זוהו תקיפות שונות מצד MuddyWater גם בישראל".
"יכולות מתוחכמות"
בקלירסקיי מסבירים כי התקיפה מורכבת משני שלבים עיקריים: תחילה, ההאקרים מתחזים לגופים ממשלתיים ופרטיים ומזייפים מסמכים רשמיים הכוללים לוגואים ותכתובות רלוונטיות. בשלב השני הם פונים באמצעות קובץ נגוע הנראה כמסמך וורד רשמי ואמין לשרתים (שבחלקם פרוצים) ומורידים אליהם קבצים נגועים. כאשר יעד התקיפה מעוניין לפתוח את המסמך, תופיע בפניו הודעת שגיאה הקוראת לו לשחזר את המסמך. הקשה על אישור הבקשה מובילה להתקנת הנוזקה האיראנית בשרת.
לדברי זיידנברג, באחד המקרים ההאקרים יצרו קובץ הנוגע לטג'יקיסטן שבו התחזו לארגון של האו"ם. היעד של התקיפה במקרה הזה היה ככל הנראה ארגון כלשהו בטג'יקיסטן. "מי שמקבל את המייל הזה חושב שמדובר בקובץ לגיטימי וברגע שהוא פותח אותו - התקיפה מתחילה".
זיידנברג מספר כי בקלירסקיי עוקבים כבר תקופה ארוכה אחרי הפעילות האיראנית במרחב הסייבר, כולל קבוצת MuddyWater. "לפני חודש בערך הגענו לפרטים חדשים והשבוע סיכמנו את הממצאים, שמהם עולה כי הקבוצה שינתה לאחרונה את דפוס הפעולה שלה והחלה לנצל חולשות אבטחה". בניגוד לרוסים או לסינים, אומר זיידנברג, האיראנים ככל הנראה לא מוצאים חולשות אבטחה בעצמם אלא מנצלים חולשות מוכרות.
בועז דולב, מנכ"ל קלירסקיי, מסר: "הטכניקה החדשה שזיהינו מורכבת משילוב יכולות מתוחכמות, החל מיכולות הנדסה חברתית שבעזרתן הצליחו להתחזות ולזייף מסמכים רשמיים, ועד ליכולות טכניות של ניצול חולשות אבטחה ושתילת נוזקה. אמנם התקיפות שזיהנו התבצעו בעיקר במרכז אסיה, אך אנחנו יודעים כי הקבוצה כבר תקפה בישראל וקיימת אפשרות ריאלית שינצלו את וקטורי התקיפה החדשים גם מול ארגונים בישראל".
דולב ציין כי בחודש האחרונים פורסם מידע רב על MuddyWater, לצד קבוצות איראנית אחרות, באמצעות רשת הטלגרם. "החשיפות הללו פגעו ביכולות של קבוצות תקיפה איראניות", אומר דולב, "אך הן לא השפיעו על קבוצה זו שהמשיכה בפעולותיה".