קבוצת ההאקרים אגריוס (Agrius), המזוהה עם איראן, תקפה בחודש מרץ האחרון כמה יעדים וחברות ישראליות באמצעות נוזקת ווייפר (Wiper) חדשה - כך עולה מדוח מחקר של חברת אבטחת המידע ESET. מדובר בנוזקת השמדת מידע המסוגלת למחוק שלל נתונים וקבצים מהמחשב המותקף. לקבוצת אגריוס יוחסו בעבר הפריצות לחברת הביטוח שירביט ולאוניברסיטת בר אילן.
עוד כתבות שיעניינו אתכם:
קמפיין התקיפה של הקבוצה התרחש ב-12 למרץ השנה, אז תקפה הקבוצה מספר מטרות ישראליות, בהן חברות משאבי אנוש, טכנולוגיות מידע וכן גופים בתעשיית היהלומים, לצד מספר מטרות נוספות בדרום אפריקה והונג קונג. הקמפיין נמשך כשלוש שעות. כהכנה למתקפה זו פרסה הקבוצה חודש לפני כן את הנוזקה ואת כלי הביצוע שלה, שזכה לשם "סנדלים", בארגון המתעסק בתעשיית היהלומים הממוקם בדרום אפריקה. במהלך פריסת הנוזקות עשתה אגריוס שימוש בתוכנה ישראלית שבה משתמשים בתעשיית היהלומים העולמית. לדברי אדם בורגר, אנליסט מודיעין איומים בכיר ב-ESET, תוך שעות ספורות כבר שחרר מפתח התוכנה עדכוני אבטחה רלוונטיים.
נוזקת ההשמדה של ארגיוס זכתה לשם "פנטזיה", ועל-פי ESET היא מסוגלת למחוק את כל הקבצים בדיסק הקשיח של המחשב המותקף, או לחילופין למחוק קבצים בעלי סיומת ספציפית, כשהיא תומכת במחיקה של 682 סיומות שונות. סיומות אלה קשורות בין היתר למרבית יישומי Office 365, בהן כמובן תוכנת Word וכן תוכנות PowerPoint ו-Excel.
אגריוס נחשבת לקבוצת האקרים חדשה יחסית, והפעילות הראשונה שלה זוהתה בשנת 2020. נכון להיום הקבוצה מתמקדת ברוב המקרים בתקיפה של גורמים ישראלים וכן בתקיפה של גורמים באיחוד האמירויות. כאמור, הקבוצה יוחסה בעבר כזו שתקפה בעבר את חברת שירביט בדצמבר 2020 ואת מערכות המחשב של אוניברסיטת בר אילן באוגוסט 2021.
בשני המקרים האלה, וככל הנראה גם במקרה הנוכחי, אגריוס הסוותה את המתקפה שלה כמתקפת כופר - אולם בפועל המטרה האמיתית של המתקפה היא כאמור למחוק שלל קבצים מהמערכות המותקפות. ראוי לציין שעל-פי ESET, ההתאוששות ממתקפה כמו זו של אגריוס אפשרית, ואכן ברוב המקרים מערכות שהותקפו הצליחו לחזור לתפקוד מלא בתוך כמה שעות.