"חתלתולים סיאמיים": ההאקרים האיראנים שמנסים לפתות עובדי הייטק בארץ
"חתלתולים סיאמיים": ההאקרים האיראנים שמנסים לפתות עובדי הייטק בארץ
קבוצת ההאקרים מפיצה באמצעות חברת מחשוב ותקשורת מזויפת, מודעות דרושים בפלטפורמות גיוס שונות כגון לינקדין. המטרה: לפתות עובדי חברות IT בישראל המעוניינים להחליף את מקום עבודתם, ולפרוץ למחשב שממנו הם פונים
קמפיין סייבר איראני חדש נגד ישראל זוהה לאחרונה על ידי חוקרי סייבר של חברת קלירסקיי. על פי פרסום החברה היום (ד') הקבוצה מנסה בחודשים האחרונים להשיג דריסת רגל בישראל ומשתמשת לשם כך בטקטיקת התחזות קלאסית.
ההאקרים "הקימו" חברת מחשוב ותקשורת מזויפת והחלו להפיץ מודעות דרושים בפלטפורמות גיוס שונות כגון לינקדין. הקבוצה החלה את פעולותיה בישראל במאי השנה כך לפי חוקרי קלירסקיי. עם זאת יכול להיות שהיא היתה פעילה גם קודם לכן רק בלי שזוהתה.
ההאקרים אפילו הקימו פרופילים פיקטיביים של אנשי מחלקת כוח אדם וגיוס כדי למשוך מועמדים להתחבר אליהם. המטרה? לפתות עובדי חברות IT בישראל המעוניינים להחליף ולשדרג את מקום עבודתם, ולהדביק את המחשב שממנו הם פונים לקבלת פרטים על הצעות העבודה המפתות. זו טכניקה פשוטה מאוד למימוש ועובדים המבקשים לשדרג את המשרה שלהם יכולים בקלות להיכשל בזיהוי הפרופילים הפיקטיביים ככאלה.
הכינוי של הקבוצה הוא "חתלתולים סיאמיים", כנראה על בסיס הניסיונות שלהם לפתות משתמשים למסור להם פרטים ומידע אישי. לפי מחקר של חברת דרגוס, הקבוצה מנסה להשיג אחיזה ברשת המותקפת לצורך השגת יכולת פעולה מתמשכת וללא הפרעה. שיטת התקיפה החביבה עליה היא משלוח מסמכי פישינג נושאי נוזקה לעובדים. חברות סייבר נוספות שחקרו את פעילות הקבוצה הצליחו למצוא דמיון בין הפעילות של קבוצת החתלתולים הסיאמיים לבין הפעילות של שתי קבוצות תקיפה איראניות – APT33 ו-APT34. הראשונה ידועה כסוכנת של הממשל האיראני, אך השנייה טרם זוהתה ככזו.
שלב ראשון לפני ביצוע מתקפות נזק?
הכנופיה מאחורי הקמפיין הנוכחי אינה חדשה בתחום ופועלת לפחות מ-2018. אך עד כה היא בעיקר תקפה מטרות באפריקה והמזה''ת, בעיקר חברות נפט, גז וטלקום. כעת לאחר שזוהתה תוקפת מטרות בתוניסיה, נראה שההאקרים האיראנים החליטו לעלות מדרגה ולעבור לתקיפת מטרות ישראליות. לא ברור אם הקבוצה פועלת בשליחות טהרן או משמרות המהפכה, אך לא יהיה מפתיע לגלות שכך הדבר.
מהרגע שהקבוצה מצליחה לחדור לרשת או למחשבים של חברה היא מקבעת בהם אחיזה. היא משתמשת בנוזקה בשם - DanBot, מסוג Trojan Access Remote המאפשרת לשלוט במחשב הפגוע, להוריד או להעלות אליו קבצים ובאופן כללי להשתמש בו כראש גשר לחדירה עמוקה יותר למחשבי או רשתות הקורבנות.
ביולי 2021 זוהה גל נוסף של תקיפות נגד חברות ישראליות. ככל הנראה חברות שהתוקפים השיגו אליהן גישה באמצעות הדבקת מחשבי עובדים שפנו לקבל הצעות עבודה. בגל הזה עברו חברי הקבוצה להשתמש בכלים יותר מתקדמים. לפי הערכת חוקרי קלירסקיי, מתקפות אלו והמיקוד בחברות IT ותקשורת, מיועדות לביצוע קמפיין מודיעין וריגול מבוסס תקיפת שרשרת אספקה בישראל. המטרה של הקבוצה היא חדירה לחברות IT אשר דרכן הן יוכלו "לדלג" לרשתות של לקוחות אותן חברות. ייתכן שאיסוף מודיעין הוא שלב ראשון לפני ביצוע מתקפות נזק - כופרה או הרס.
זו טכניקה שהפכה למאוד פופולרית בשנה האחרונה מאז הצליחו האקרים רוסים וסינים לבצע מספר קמפיינים דומים נגד חברות אמריקאיות ומערביות. המתקפה המוכרת ביותר מסוג זה הוא המבצע נגד ענקית ה-IT סולארווינדס שהביא להדבקה מסיבית של חברות וממשלות רבות שהשתמשו בשירותיה. קמפיין נוסף שבוצע בצורה דומה תקף את חברת Kaseya שדרכה הוחדרו נוזקות כופר לעשרות ארגונים וחברות. על פי הערכת האיחוד האירופי סוג זה של תקיפות סייבר צפוי לגדול פי 4 השנה, כנראה בשל הקלות הרבה בה ניתן לנצל מערכות מחשב של ספק או קבלן שלא דאג לאבטח את עצמו כראוי.
הבעיה בישראל גדולה פי כמה שכן חברות מקומיות רבות חסרות את הכלים או את המודעות למצב האבטחה ברשתות שלהן. כך למשל רק השבוע נודע דרך רשות הפרטיות הממשלתית, שאתר ההתאחדות לכדורגל סבל מפרצת אבטחה חמורה כל כך, שאיפשרה לכל מי שגלש לאתר שלה לקבל גישה לפרטיהם של כל השחקנים, השופטים ועוד עובדים שלה. זו דוגמה אחת, אך ניתן למצוא עוד. הבעיה העיקרית היא שאין דרך יעילה להתמודד עם קמפיינים כאלה זולת העלאת המודעות של עובדים ומנהלים. בסופו של דבר היעילות של אבטחה בכל ארגון טובה בדיוק כמו החוליה החלשה שלו - הגורם האנושי - וזה נכון שבעתיים בעולם הסייבר.