במתקפה מתוחכמת, התחזו תוקפים איראנים לנציגי חברת רפאל, הציעו משרות פיקטיביות והצליחו להחדיר נוזקות מתקדמות למחשבי הקורבנות
בשקט אופייני אך בעוצמה מדאיגה, קבוצת תקיפה איראנית הצליחה להונות משתמשים ישראלים באמצעות קמפיין הנדסה חברתית מתוחכם, במסגרתו הוצעו כביכול משרות בחברת רפאל הביטחונית. כך עולה מדו"ח חדש של חברת Experis Cyber, המתמחה בשירותי אבטחת מידע והגנת סייבר.
אתר מזויף, קובץ זדוני והבטחה לקריירה חדשה
לפי הממצאים שפורסמו השבוע, קמפיין הפישינג נרקם באוקטובר 2024 ע"י קבוצת התקיפה UNC2428. הקורבנות הופנו לאתר שהתחזה באופן משכנע לאתר הרשמי של רפאל, שם התבקשו להוריד קובץ בשם RafaelConnect.exe לצורך הגשת מועמדות למשרה.
אך מאחורי ההבטחה לקריירה מפתה הסתתרה מלכודת מתוחכמת: הקובץ הכיל את תוכנת ההתקנה LONEFLEET, שהציגה ממשק גרפי ידידותי למילוי פרטים אישיים והעלאת קורות חיים – אלמנט שנועד להפחית את חשדם של המשתמשים. מאחורי הקלעים, בעת שליחת הטפסים, הופעלה דלת אחורית בשם MURKYTOUR באמצעות רכיב התקנה נוסף בשם LEAFPILE, אשר אפשר לתוקפים שליטה מתמשכת במחשבים הנגועים.
הקמפיין יוחס גם לקבוצת Black Shadow, הפועלת בשירות משרד המודיעין האיראני, ואחראית למתקפות רבות נגד תשתיות ישראליות בשנים האחרונות.
לא לבד במערכה: קבוצות תקיפה נוספות נגד ישראל
Experis Cyber מדווחת כי 2024 הייתה שנה רוויית פעילות מצד קבוצות תקיפה איראניות שונות נגד מטרות ישראליות. בין היתר, קבוצות כמו Cyber Toufan ו-UNC3313 השתמשו בתוכנות זדוניות ייחודיות, ביניהן POKYBLIGHT, JELLYBEAN ו-CANDYBOX, שנועדו לחדור למחשבים ולבסס שליטה מרחוק.
במיוחד בלטה פעילותה של UNC3313, שהצליחה להערים על מערכות ההגנה באמצעות כלים לגיטימיים לניהול מרחוק (Remote Monitoring and Management – RMM) ובכך להמשיך ולפעול באין מפריע לאורך זמן. במתקפה נפרדת, תוקפים איראנים הפיצו גרסה מזויפת של תוכנת GlobalProtect של Palo Alto, אשר הכילה דלת אחורית זדונית בשם CACTUSPAL.
גם קבוצת UNC1549 הפעילה טקטיקות מתוחכמות – תוך שימוש בתשתיות ענן לגיטימיות וטכניקות כמו typosquatting (רישום דומיינים דומים בטעות הקלדה) והשתלטות מחודשת על דומיינים ישנים, כדי להקשות על גילוי פעילותם.
לצד אלה, נצפתה גם פעילות של קבוצת APT42, הידועה גם כ-Charming Kitten, שהתמקדה בגניבת סיסמאות באמצעות דפי התחברות מזויפים של ענקיות טכנולוגיה כמו Google, Microsoft ו-Yahoo. בסך הכול, זוהו במהלך השנה החולפת למעלה מ-20 משפחות נוזקות חדשות שמקורן בפעילות איראנית.
"נדרשת ערנות תמידית"
על רקע התגברות איומי הסייבר, מומחי Experis Cyber מדגישים את חשיבות החוסן הארגוני. "יש לוודא שמערכות ההפעלה והתוכנות מעודכנות תמידית", המליצו גורמי החברה, "ולבצע אימות דו-שלבי לכל חשבון ארגוני כדי לצמצם את סיכון גניבת האישורים". בנוסף, הומלץ להדריך את עובדי הארגון כיצד לזהות סימנים מחשידים גם כאשר הדוא"ל מגיע ממקור שנראה אמין.
Experis Cyber מפעילה מרכז בקרה (Security Operations Center) מבוסס בינה מלאכותית, המספק שירותי ניטור, זיהוי וטיפול באיומי סייבר עבור לקוחות עסקיים. בנוסף, החברה מבצעת סקרי סיכונים, מבדקי חדירה (Penetration Tests) ובדיקות אבטחה לכל שרשרת האספקה הארגונית – פעילות שנועדה למנוע הדבקות גם דרך ספקים חיצוניים בעלי גישה למערכות הפנימיות.
לאן פני המתקפות?
המגמה העולה מהממצאים של Experis Cyber מציגה בבירור: התקפות הסייבר הופכות מתוחכמות יותר, מותאמות אישית ומנצלות חולשות אנושיות לא פחות מחולשות טכנולוגיות. בעולם שבו קמפיין פישינג יכול להיראות כהזדמנות קריירה תמימה, נדרשת לא רק טכנולוגיה מתקדמת אלא גם מודעות גבוהה של כלל העובדים.
ככל שהאקרים ממשיכים ללטש את שיטותיהם, השאלה איננה האם ינסו לפרוץ – אלא מתי, ועד כמה נצליח להיות מוכנים.
