$
חדשות טכנולוגיה

פרסום ראשון

מסמכי "השב"כ האיראני" שדלפו חושפים את מבצעי הסייבר של המדינה

גורמים לא ידועים הדליפו מסמכים פנימיים חשאיים של ממשלת איראן, שהושגו ונותחו בידי חברת מחקר הסייבר קלירסקיי. החומר מציג פרויקטים לפיתוח נוזקות-על, פריצה ל"חברת תעופה ישראלית", ריגול אחר אזרחים ועוד. חשיפתו מהווה מכה קשה לתוכניות הסייבר האיראניות

עומר כביר 18:2207.05.19
שורת הדלפות שחשפו את תשתית מערך תקיפות הסייבר של איראן הובילו בשבועות האחרונים לפגיעה משמעותית בפעילות הסייבר ההתקפי של המדינה ולנטרול תשתיות התקיפה שלה, וסיפקו הצצה ייחודית לאופן הפעולה המדוקדק של מערך זה – כך חושפים בכלכליסט חוקרי חברת מודיעין הסייבר קלירסקיי (Clearsky), שזיהו וניטרו את ההדלפות.

 

 

לפי החברה, זהות המדליפים לא ידועה אך היקפן ואיכותן של ההדלפות מראה על פעילות גורמים מקצועיים. כמו כן, די בחשיפה האמורה כדי לנטרל ולהחליש את יכולות התקיפה האיראניות הרלוונטיות, לפרק זמן של בין מספר חודשים לשנה.

 

מרבית ההדלפות התבצעו בערוצי טלגרם יחודיים שנפתחו לצורך הפצת המידע. בערוץ בשם Lab Dookhtegan pseudonym ("האנשים ששפתותיהם תפורות ומושתקות" בפרסית) התפרסמו כלי תקיפה של קבוצת OilRig האיראנית, ששימשו בין השאר למתקפות DNS, ובהם גם כלי שהוחדר לטכניון. ערוץ בשם Green Leakers פרסם כלים של קבוצת MuddyWater.

 

נשיא איראן, חסן רוחאני נשיא איראן, חסן רוחאני צילום: רויטרס

 

 

המעניין מכולם הוא אולי ערוץ הטלגרם Black Box, שבו פורסמו ביום שישי עשרות מסמכים עם סיווג "סודי" שעוסקים בפעילות של קבוצות התקיפה השונות. המידע שפורסם בערוץ זה כולל מסמכים של משרד המודיעין האיראני (המקבילה המקומית של השב"כ והמוסד), ובהם מידע על קבוצה חדשה בשם "ראנא" שבשלב זה לא ניתן לקשור אותה לאחת מהקבוצות האיראניות המוכרות.

 

בין השאר הודלף מסמך שמראה פיתוח נוזקת-על להשתלטות על תשתיות שליטה ובקרה (בדומה לנוזקת Stuxnet) שמכונה פרויקט 910. "הנוזקה מתנהגת כנוזקת ריגול ובעלת יכולות זיהוי, ריגול והתחברות למחשב מרחוק. על פי המסמך, נכון ליום כתיבתו בפברואר 2016, לנוזקה לא היו הצלחות עד כה חרף תקציב רב", כתבו חוקרי קלירסקיי.

 

פריצה לחברות תעופה וביטוח

 

המסמכים חושפים את חברי הקבוצה עצמה, לצד פעולות מעקב של אחרי תושבי איראן ואזרחים איראנים שחיים במדינות אחרות. "בהדלפה נכללים שורה של מסמכים מסווגים בדרגת סיווג סודי המפרטים את מטרות צוות ראנא, אשר נכתבו על ידי צוות פריצה וחדירה מהאגף למבצעי סייבר במשרד המודיעין", כתבו חוקרי קלירסקיי. "מסמכים אלו מכילים רשימות מותקפים, אסטרטגיות לתקיפת סייבר, מספר טענות לנגישות של האיראנים, מצבת כוח אדם ואף צילומי מסך מתוך אתרים פנימיים הרלוונטים למערכות ריגול".

 

מסמכים מציגים בין השאר סיכומי עבודה שנתיים, לפי מניין השנים המוסלמי. למשל, הדו"ח לשנת 1394 (מרץ 2015 עד מרץ 2016) מציג תוכנית אסטרטגית לפריצה לחברות תעופה. להערכת קלירסקיי, בעקבות תוכנית זו התבצעות נסיונות פריצה לחברות תעופה בעולם ובישראל.

המטרה: חברות תעופה המטרה: חברות תעופה צילום: רשות שדות התעופה

 

  

בין היעדים המודיעיניים של חוליות הסייבר האיראניות נמנו מידע על טיסות (קווי תעופה ופיקוח עליהם, תרחישי זיהוי נוסעים ואח"מים בטיסה, גורמים שיכולים להצטרף במסווה לטיסות ואישים ספציפיים, ביניהם אחד שנכח בטיסה מטהראן למוסקבה ומלונדון לת"א במהלך 2014); מידע על משתמשים בחברות תעופה ספציפיות כשנדרשו שמותיהם, מספרי הדרכונים שלהם ועוד, לצד מידע על צוותי אוויר ועובדי חברות תעופה; מידע על המטוסים ומצבם וציוד המחשוב של חברות התעופה ועוד.

 

מסמך אחר, שעסק בחצי הראשון של 2016, כלל תיעוד תקיפות של מאגרי מידע של חברות תעופה שונות, ובכללן טענה לכניסה למסד הנתונים של חברת תעופה ישראלית. "העמוד הבא אשר הודלף כולל פירוט על צעדים שהתבצעו לקראת תקיפות, מחקר מקדים ושימוש במתווי תקיפה אפשריים. בין הצעדים שהתבצעו: פגישה עם עובדי שדה התעופה הבינ"ל בטהראן ולמידת מערכות בשימוש שלו ומחקר על סוגי מאגרי מידע שונים".

 

מסמך שכותרתו בתרגום מפרסית היא "פריצה לחברות הביטוח של ישראל" כולל רשימה של מרבית חברות הביטוח בישראל, ואולם מהשם בפרסית לא ניתן להבין האם מדובר בפריצות שבוצעו בפועל או ברשימת מטרות. מסמך נוסף מספק דיווח על תקיפה נגד חברת תיירות ישראלית במטרה להגיע לאתרי הזמנת מלונות בישראל. "על פי הדו"ח, הפריצה הצליחה", נכתב.

 

צוות תקיפה, צוות הנדסה חברתית

 

כן כוללים המסמכים תיעוד לכאורה של תקיפות במדינות אחרות: "מספר מסמכים כוללים מידע על התקפות נגד משרדי ממשלה בכווית. מטרת התקיפה הייתה להשיג נגישות לשרות המייל הכווייתי ולאסוף מידע באמצעותו על משרד החוץ. במסגרת התקיפה פעלו שני צוותים – צוות הפריצה וצוות הנדסה חברתית.

 

לפי קלירסקיי, צוות התקיפה ביצע בדיקות ראשוניות ובדיקות חדירות למערכות של משרד החוץ. לאחר מכן, מופו כל כתובות ה-IP, הדומיינים והאתרים וכן אפליקציות בשימוש המשרד. צוות התקיפה ערך בדיקות נוספות כדי לבדוק מה פתוח ונגיש וכיצד ניתן להשיג את הנגישות למערכות. לפי הבירורים ניתן להגיע לשליטה מקסימלית של השרתים הנחוצים על פי אתר של המשרד. צוות ההנדסה החברתית השיג נגישות למאגר המידע של עובדי המשרד ושלח הודעות ספאם לכלל המשרד על מנת לבצע אימות של הכתובות.

 

 

 

"לעתים נדירות מודלפים ממסמכים שמראים את תמונת התוקף, שמאפשרים לראות מה הם תכננו ומה הם בצעו", אמר מנכ"ל קלירסקיי, בועז דולב, לכלכליסט. "זה מאוד יפה לראות את חשיבת התוקף. זו הדלפה שמציגה בפעם הראשונה את תורת העבודה שלהם ועד כמה הדבר קרוב לליבת הפעילות שלהם. זה מאפשר לראות יפה מאוד איך הם בונים תוכניות עבודה, יוצרים מתווי תקיפה, ומוציאים אותם לפועל".

בטל שלח
    לכל התגובות
    x