האקרים איראנים תוקפים יעדים ביטחוניים בישראל וגנבו מידע רגיש

(וירוס ריגול התגלה במלונות שבהם התקיימו שיחות הגרעין, בשבוע שעבר)

על רקע הדיווח שלפיו ישראל שתלה תכנת ריגול במלונות שאירחו את שיחות הגרעין, נחשפת תקיפת סייבר ביטחונית נוספת: קבוצת טרור-סייבר איראנית תוקפת זה כשנה מאות יעדים בישראל ובמזרח התיכון – כך חושפת חברת ClearSky הישראלית. הסיפור פורסם לראשונה הבוקר (ראשון) באתר "אנשים ומחשבים".

לפי הפרסום, המתקפה החלה ביולי 2014 ונמשכת גם בימים אלה. חוקרי ClearSky חשפו שמות ותיבות דואר של יותר מ-550 יעדי תקיפה, מתוכם 40 ישראלים, העוסקים בחקר המזרח התיכון, איראן, יחסים בינלאומיים, חברות ביטחוניות וגורמים נוספים. שאר המותקפים הם ממדינות המזרח התיכון, ובעיקר מערב הסעודית. להערכת החוקרים, התוקפים הם קבוצת האקרים ששמה Ajax Team. "הם החלו ממניעים אידיאולוגיים ב-2010 וגויסו, ככל הנראה, לשירות הביטחון האיראני", הם קובעים.

גורמים ישראלים נוספים שהיוו יעד למתקפת הסייבר היו אלופים במיל', עובדים בחברות לייעוץ ביטחוני, חוקרים מאוניברסיטת בר-אילן ומאוניברסיטאות נוספות. יעדי תקיפה מעבר לישראל היו שר אוצר של מדינה במזרח התיכון, גורם בשגרירות קטאר בבריטניה, גורמים רבים בערב הסעודית, עיתונאים ברחבי העולם, פעילי זכויות אדם ועוד.

לקריאה נוספת:
כך מתאמנים לוחמי הסייבר להגן על הכור מהאיראנים
ישראל ריגלה אחרי שיחות הגרעין? "הסייבר הופך להיות כלי נשק"
חקירת "דוקו": הוחרמו מחשבים מהמלון שאירח את שיחות הגרעין

מתקפת הסייבר כללה פעילות תקיפה רב-שלבית, של יעדים ותשתיות מחשוב, ובמגוון ערוצים. היא נועדה ליצור בסיסים שמהם יצאו התקפות על קורבנות נוספים. זאת, בין היתר, באמצעות השגת הרשאות גישה לחשבונות דואר אלקטרוני; השגת הרשאות ופרטי הזדהות למערכות מחשב; השתלטות על מחשבים ותיבות דואר אלקטרוני של היעדים המותקפים; גניבת המידע המאוחסן במחשבים ובתיבות הדואר של היעדים; ושימוש במחשבים ובתיבות הדואר של המותקפים. "להערכתנו מדובר בקמפיין תקיפה ממוקד, עיקש ושיטתי במיוחד, המבוסס על איסוף מודיעין ומידע מקדים וממוקד על יעדי התקיפה"", טוענים חוקרי החברה.

התקיפות בקמפיין כוללות: שימוש בתכנות ריגול הנשלחות כצרופות למיילים; פריצה לאתרי אינטרנט "לגיטימיים ומוכרים" לטובת שתילת דפי "פישינג" ממוקדים ליעדי התקיפה; והפניית הקורבן לדפי פישינג יעודיים באתרים לגיטימיים, על מנת לעורר אמינות.

החוקרים קובעים כי "הרמה הטכנולוגית של התקיפות אינה גבוהה, קיימות שגיאות טכניות ושגיאות דקדוק בטקסט. טעויות בקמפיין הביאו לחשיפה של תשתיות תקיפה וקושי של התוקפים לתקשר באופן ישיר עם המותקפים". כך, למשל, התוקפים שלחו מיילים, בין השאר, שבהם הזדהו כמכון וייצמן, אלא שכינו אותו, בטעות, אוניברסיטת ויצמן. עוד היו להם שגיאות דקדוק המבלבלות בין זכר ונקבה – טעות הנפוצה בקרב דוברי פרסית, בה אין הבדל לשוני בין המינים.

על אף הכשלים הללו, קובעים חוקרי ClearSky כי "התוקפים הצליחו ומצליחים במשימתם. אנו יודעים על מקרים רבים במהלך החודש האחרון, שבהם הודבקו מחשבים בהצלחה, נגנבו פרטי הזדהות ונגנב מידע רגיש".

החוקרים כינו את מתקפת הסייבר "מאגר תמר", על שמה של ד"ר תמר עילם-גינדין, אחת מיעדי התקיפה, אשר דיווחה עליו וסייעה בתחקורו. ד"ר גינדין היא בלשנית המתמחה בפרסית, באיראן הקדומה והמודרנית, ומשמשת בין היתר כעמיתת מחקר במכון לחקר איראן באוניברסיטת חיפה. ד"ר גינדין הפכה ליעד למתקפת הסייבר, מעריכים החוקרים, בעקבות ריאיון שהעניקה בגלי צה"ל על תחום התמחותה – איראן.

בסיום הדוח כותבים החוקרים בפרק המסקנות כי "היכולת של משתמש רגיל להתמודד ולסכל תקיפה מסוג זה היא אפסית. יכולת של משתמש מתוחכם לסכל את התקיפה הממוקדת היא בינונית עד נמוכה. יכולת המשתמשים לזהות כי המחשב שלהם הודבק בנוזקה - היא נמוכה עד אפסית. רק למערך אבטחה בחברה יש יכולת בינונית עד טובה לסכל תקיפה שכזו".

על התוקפים, כתבו החוקרים כי "הם עושים את עבודתם על בסיס יומיומי. יש להם סבלנות, הם מיומנים בשיטות התקיפה. למרות שרמת המקצועיות שלהם בינונית, מידת ההצלחה שלהם גבוהה".