מחקר של חוקרי Unit 42, יחידת המחקר של חברת הסייבר פאלו אלטו נטוורקס, מצאה שאחת מקבוצות ההאקרים האיראניות המסוכנות ביותר שידרגה לאחרונה את יכולותיה והשיקה נוזקות שעשויות להוות בעיה עבור חברות וארגונים בישראל. המחקר זיהה מספר נוזקות שמשמשות למתקפות כופר או השמדת מערכי מחשוב (wiper) שיכולות לעשות כאב ראש לא קטן. הנוזקות האלה מתוחכמות ומסוכנות והנזק שהן עלולות לגרום מהווה צרה גדולה עבור מי שייפגע מהן.
עוד בנושא:
הקבוצה שעומדת מאחורי הנוזקות האלה כבר הוכיחה את עצמה בעבר ואיומיה אינם משהו אפשר להקל בו ראש. הכירו את קבוצת ההאקרים הפרו-איראנית Agrius, שנקראת לעתים גם Agonizing Serpens. לא ברור אם היא תחת פיקודו של משרד המודיעין האיראני או שייכת למדינה אחרת ורק מסייעת לאיראן, אך מה שבטוח זה שהיא בעלת יכולות. זו הקבוצה שעל פי החשד עומדת מאחורי הפריצה למחשבי חברת הביטוח שירביט, אז נגנבו פרטים אישיים של אלפי עובדי מדינה וביניהם כאלה הקשורים למערכת הביטחון על כל גווניה.
הקבוצה הזו היא גם האחראית לפריצה למחשבי אוניברסיטת בר-אילן. על פי החשד ההאקרים ניצלו את הפריצה כדי לנסות ולגנוב מחקרים וקניין רוחני על מחקרים שבוצעו שם. הגניבה של המידע מוסווית על ידי שימוש בנוזקות המחיקה (wipers) שמשמידה את נקודות הקצה (מחשבים מהם מתחברים לרשת הפנימית של האוניברסיטה). החשש כעת הוא שהיכולות החדשות של קבוצה יכולות לעקוף הגנות שכבר יושמו בעקבות הפריצות הקודמות.
פעילות הסייבר האיראנית מתבצעת בסיוע של גורמים חיצוניים, אבל לא רק. בעוד שבעבר רוב היכולות המתקדמות של איראן בתחום הסייבר הגיעו ממדינות כמו רוסיה, בלרוס, סין או צפון-קוריאה, כיום ההערכה היא שהרפובליקה האיסלמית מחזיקה ביכולות מקומיות מתקדמות משל עצמה. אם פעם האיראנים שימשו כ"אידיוט שימושי", כפי שכינה אותם מומחה סייבר אמריקאי, של שירותי הביון והסייבר הרוסיים, כעת הם מסוגלים לפתח לעצמם חלק ניכר מכלי הסייבר שבהם נעשה שימוש גם בפעולות נגד ישראל.
על פי החשד, קבוצת Agrius פועלת ביתר שאת מול ישראל מאז תחילת המלחמה באוקטובר. הקבוצה שפועלת מאז 2020 משתמשת בטקטיקות שמטרתן לבלבל את הקורבן. בעוד הם מנסים להסוות את הפריצות כתקיפות כופר, כלומר שהמוטיבציה מאחוריהן היא פיננסית, הם מנצלים את המשא ומתן כדי לגנוב את המידע שמעניין אותם ולמחוק את המחשבים כדי לטשטש את העקבות. לאחר סיום המבצע, הנתונים החשובים, כגון מידע טכנולוגי או מחקרי, מועברים הלאה בעוד מידע אישי ונתונים מזהים מתפרסמים ברשתות החברתיות - בעיקר בטלגרם ו-X (טוויטר לשעבר) כדי למקסם את היקף הנזק.
"המטרה היא להשית פחד או לייצר נזק הסברתי ותודעתי", נכתב במחקר של פאלו אלטו. זאת ועוד, החוקרים מזהים שהקבוצה מטווחת מטרות ישראליות בלבד, ואינה פועלת מול מטרות אחרות. ההאקרים של הקבוצה הזו מתמקדים במטרות מתעשיות הטכנולוגיה ומגזר החינוך והאקדמיה. על פי הערכות פאלו אלטו, היכולות החדשות מאפשרות לנוזקות לעקוף מנגנוני הגנה מסורתיים. בשלב הנוכחי החברה פרסמה מזהים שמאפשרים לחברות וארגונים לעדכן את פלטפורמות ההגנה שלהן עם האיומים החדשים.