מחקר: האקרים איראניים מתחזים לעברייני סייבר כדי לתקוף בישראל
מחקר: האקרים איראניים מתחזים לעברייני סייבר כדי לתקוף בישראל
מחקר חדש של חברת SentinelOne זיהה קבוצת האקרים איראנית בשם Agrius שפועלת ככל הנראה בשליחות הממשלה במטרה להשיג מידע אסטרטגי חשוב על ישראל. לכלכליסט נודע מגורמים בתחום הסייבר, כי הקבוצה הזו עומדת מאחורי התקיפות של שירביט ושל חברת ק.ל.ס
מחקר חדש של חברת SentinelOne הישראלית מנסה לעשות סדר באירועי הסייבר שתקפו שלל מטרות ישראליות בשנים האחרונות. מחברי המחקר זיהו קבוצת האקרים איראנית שלדבריהם פועלת ככל הנראה בשליחות הממשלה. עד כה ההנחה היתה שקבוצות איראניות פועלות בעיקר בממד הפלילי והפגיעה האסטרטגית משנית.
על פי המחקר שמנתח את פעילות קבוצת Agrius האיראנית, המציאות עשויה להיות שונה. בשנים האחרונות המשק הישראלי נפגע מספר רב של פעמים מתקיפות שיוחסו להאקרים איראניים, אך עד כה לא היה ברור מה עומד מאחורי הפעולות האלה. בחלק מהמחקרים התייחסו לכך כאל תקיפות פליליות ובחלק אחר כפעולות אסטרטגיות.
לדברי החוקר אמיתי בן שושן ארליך, קבוצת התקיפה הזו פועלת בישראל בתקופה האחרונה (מתחילת 2020). ב-SentinelOne נזהרו מאוד לדבר על הפעילות של הקבוצה, אולם על פי מידע שהגיע לידי כלכליסט מגורמים בתחום הסייבר, אותה קבוצה היא זו שעומדת מאחורי התקיפות של שירביט ושל חברת ק.ל.ס.
בנוסף, התוקפים שכינו את עצמם Black Shadow במהלך אירועי שירביט, פועלים תחת כינויים שונים במדינות שונות או בפעולות שונות. כך למשל זוהתה כזו שעומדת מאחורי תקיפה של נמל גדול באיחוד האמירויות אך אז נחשפה תחת שם אחר.
במקביל ל-Agrius פעלו בארץ קבוצות איראניות שונות שתקפו ארגונים שונים השנה- בין היתר קבוצת Netw0rm/ Pay2Key שתקפו לאחרונה את יבואנית H&M לישראל ואת חברת ״איתן מדיקל״.
את החיבור בין הפעולות השונות לקבוצה מבססים ב-SentinelOne על ניתוח כלי התקיפה ששימשו אותם. בעוד קבוצת pay2key פועלת כמפיצה של נוזקות כופר כפי שהיה במהלך התקיפה של מחשבי הבאנה לאבס של אינטל לפני מספר חודשים, קבוצת Agrius מבצעת פעולות תוך שימוש בכלי סייבר שאינם מיועדים רק לכופר אלא גם לגרום נזק על ידי מחיקת מידע וריגול.
לדברי בן שושן ארליך, ״על אף שלא זוהה דמיון טכני בין pay2key לפעילות של Agrius, התזמון הקרוב של שתי הפעילויות עלול להעיד כי תקיפות כופר הפכו לדוקטורינה איראנית בעזרתה ניתן לפגוע במרחב הסייבר הישראלי. קיימות אינדיקציות נוספות התומכות בכך שישנו מאמץ מכוון של גופי ביטחון איראניים לפתח נוזקות כופר כדי לפגוע במשק הישראלי".
עוד עולה ממצאי המחקר, שבתחילה התמקדה Agrius באיסוף מידע על גופים בישראל, אולם היא שינתה את דפוס הפעולה שלה והחלה לתקוף ארגונים בנוֹזְקָה שמיועדת למחוק את המידע של הארגון אליו היא מוחדרת (Wiper). תקיפות אלה בוצעו בכסות של תקיפות כופר על רקע פיננסי. ארגונים בישראל שהותקפו חשבו שמדובר בפושעי סייבר שהצפינו את המידע במטרה לסחוט את הארגון לשלם כופר במטבע קריפטו.
פיתוח עצמי איראני
בדיקה מקיפה של הכלים שמשמשים את Agrius, מצאה שמדובר בכלי מפיתוח עצמי איראני בשם "Deadwood״ שהנזק שנגרם מפעולתו מונע שחזור של מידע מוצפן. במילים אחרות, מדובר בנשק שמיועד להשמיד מידע ונתונים. עוד הסבירו ב-entinelOneס שעם הזמן התוקפים הכניסו לפעולה נוזקת מחיקה נוספת, מתוחכמת יותר, בשם ״ Apostle’״, שבמהלך השנה שוכלל והוענקו לו יכולות שחזור מידע, מה שהופך אותו גם לנוזקת כופר.
פעולות הסייבר האיראניות מיועדות כאמור לפעול במספר מישורים, פלילי, תודעתי ואסטרטגי. במישור הפלילי, ההאקרים התוקפים מכניסים כסף מהפעולות שלהם; במישור התודעתי הם מייצרים פאניקה וחושפים את החולשות של המשק, על ידי סחיטה של ארגונים ישראליים תוך כדי סיקור תקשורתי. במישור האסטרטגי חדירה לארגונים ישראליים מניבה לאיראנים מידע בעל ערך רב, במקרה של שירביט למשל בין הפרטים האישיים שנחשפו בפריצה נמצאים גם כאלה של עובדי ממשלה, משרד הביטחון, סוכנויות ביון ועוד.
עפ"י המחקר, לא מדובר בקבוצת תקיפה מאוד מתוחכמת. "ראינו ניסיונות גישה מאוד רחבים מול מגוון של יעדים בארץ. נראה שהקבוצה עובדת לפי שיטת מצליח כשהיא מנסה לחדור לעשרות ארגונים על ידי כלים זמינים פומבית", אומר בן שושן ארליך. לדבריו, קל מאוד למנוע את הפעילות שלהם ברוב המקרים: "הקבוצה יודעת לנצל את המשאבים שלה היטב. על פי הפעילות שזיהינו, פעולות הגנה די בסיסיות כמו ניהול עדכוני תוכנה וכלי סייבר שיגנו על המחשבים, יכולים להוות מכשול משמעותי לפעילות שלהם."
