איראן ממשיכה במתקפות סייבר על ישראל, חלקן תחת מסווה של מתקפות כופרה וחלקן באמצעות הפעלת כלי ריגול - כך עולה מדיווחים של שתי חברות הגנת סייבר ישראליות. בחברת סנטינל וואן קובעים כי המתקפה על מערכות המחשבים של בר אילן בסוף אוגוסט נעשתה על ידי אותה קבוצה שתקפה את חברת הביטוח שירביט בדצמבר 2020. בשני המקרים מדובר במתקפה שהוסוותה כמתקפת כופר אבל מטרתה האמיתית הייתה גרימת נזק ומחיקת קבצים.
עוד כתבות בנושא:
2 צפייה בגלריה
האיראנים עומדים מאחורי המתקפות נגד שירביט ובר אילן
(צילום: עידו ארז, shutterstock, סנטינל וואן)
אמיתי בן שושן ארליך, חוקר במעבדות SentinelLabs של חברת סנטינל וואן, אומר שמדובר בקבוצה בשם Agrius, שמזוהה עם קבוצות איומי סייבר איראניות. זיהוי הקבוצה התאפשר באמצעות השוואת כלי התקיפה בשני המקרים, כלי השמדה (wiper) מתקדם, שלדבריו עבר שידרוג והוספה לו היכולת לפעול ככלי כופרה. "קבוצת התקיפה פעלה באופן מאוד דומה לאירועים שבהם ראינו אותה פועלת בעבר, בשירביט וגם במתקן ממשלתי באיחוד האמירויות במפרץ. אנחנו רואים שזה כלי ייחודי לקבוצה הזאת", אומר בן שושן ארליך.
לדבריו, קבוצת Agrius עסקה בתחילת דרכה בפעילות ריגול סייבר, ובהמשך עברה לפעילות התקפית באמצעות מחיקת קבצים של הקורבנות, בהם מספר גופים ישראליים. "כדי למסך את הפעילות ולגרום לה להיראות יותר לגיטימית, ועדיין לשמור את אפקט הפגיעה, הם עברו להשתמש בכופרה, אבל לא נראה שזה באמת בא ממניעים כלכליים אלא במטרה לפגוע. מעניין אותם יותר האפקט וההד התקשורתי". בדו"ח שפרסמה סנטינל וואן בחודש מאי השנה, היא הביעה הערכה שפעילות הקבוצה האיראנית היא חלק מחילופי מתקפות סייבר בין ישראל לאיראן שכללו את המתקפה על מתקני המים של ישראל באפריל 2020 ופעילותה מצטרפת לפעולות הקבוצה שביצעה מתקפות בישראל תחת השמות Pay2Key ו-n3tw0rm.
בתוך כך, חברת סייבריזן חושפת היום תשתית ריגול איראנית הפועלת נגד יעדים בישראל. לפי הדיווח, קבוצת התקיפה MalKamak פעלה לטובת ריגול וגניבת מידע רגיש מיעדים שונים בישראל, וכמו כן ממטרות במזרח התיכון, ארה"ב, רוסיה ואירופה. מהחקירה עולה כי הקבוצה פעלה מתחת לרדאר משנת 2018 ולא נחשפה עד היום. התוקפים פעלו בצורה חשאית ומדוקדקת, וביקשו לחדור ליעדים אסטרטגיים, בעיקר בקרב חברות וארגונים העוסקים בתקשורת נתונים, טכנולוגיות אוויריות וחקר החלל.
בסייבריזן אומרים כי הקבוצה האיראנית זוהתה בעת שצוותי המחקר וניהול אירוע הסייבר של החברה נקראו לסייע לאחת החברות שהותקפו, וזיהו נוזקה חדשה שטרם תועדה. אסף דהן, ראש קבוצת מחקר איומי סייבר בסייבריזן, אומר: "המחקר הצביע על כך שהתקיפה היא חלק מקמפיין ביון איראני שלם, אשר מתנהל בחשאיות ומתחת לרדאר בשלוש השנים האחרונות. הם פעלו ביסודיות ובחרו את קורבנותיהם באופן קפדני. מדובר בתוקף איראני מתוחכם, שפעל במקצועיות לפי אסטרטגיה שקולה ומחושבת. הסיכון הפוטנציאלי אשר טמון בקמפיין תקיפה שכזה הוא גדול ומשמעותי עבור מדינת ישראל ואף עשוי להוות איום ממשי".
הנוזקה החדשה, המכונה ShellClient, הוחדרה לתשתיות הארגונים ושימשה ככלי מרכזי לריגול וגניבת מידע רגיש של תשתיות קריטיות, נכסים וטכנולוגיות שונות. התוקפים השתמשו בפלטפורמת אחסון הענן דרופבוקס (Dropbox) ובאמצעותה שלטו מרחוק בנוזקה תחת מסווה של תעבורת רשת לגיטימית. כך הם הצליחו לסרוק רשתות פנימיות בחברות שהותקפו, ולגנוב מידע מבלי להיחשף.
בתוך כך, בחברת צ'ק פוינט מפרסמים היום נתונים עדכניים על מצב תקיפות הסייבר בעולם. מהנתונים עולה כי בזמן שממוצע התקיפות השבועי נגד ארגונים וחברות בעולם עלה ב-40% בשנת 2021 לעומת 2020, בישראל נרשמה עלייה חדה יותר של 65%. מדובר בנתון המשקף 748 תקיפות בשבוע. לדברי עומר דמבינסקי, מנהל מחקר הדאטה של צ'ק פוינט, "מאז פרוץ מגפת הקורונה, פושעי הסייבר האיצו את הפעילות שלהם ואיתרו הזדמנויות חדשות לתקיפה בהיקפים גדולים משמעותית מהעבר".
