קבוצת איומים המקושרת לחיל משמרות המהפכה האיראני (IGRC) מקיימת מסרים פוליטיים ועבודות טכניות מזויפות כדי לרמות עובדים ולסכן מערכות בחברות תעופה וחלל והגנה בישראל, באיחוד האמירויות הערביות ובמדינות אחרות במזרח התיכון הגדול.
נראה כי הקמפיין, שהתגלה על ידי Mandiant של Google Cloud, מקושר לקבוצת האיומים האירנית UNC1549 - הידועה גם כסופת חול עשן וצב - ומבצע התקפות דיוג וחניתות עבור קצירת אישורים והפלת תוכנות זדוניות.
פשרה מוצלחת גורמת בדרך כלל לתוכנת דלת אחורית המותקנת במערכות המושפעות, בדרך כלל תוכנית המכונה MINIBIKE או בן דודה המעודכן יותר, MINIBUS.
בין התחזות החנית המותאמת לתעסוקה והשימוש בתשתית ענן לפיקוד ובקרה, ייתכן שהתקיפה תהיה קשה לזיהוי, אומר ג'ונתן לתירי, אנליסט ראשי של Mandiant של Google Cloud.
"החלק הבולט ביותר הוא עד כמה האיום הזה יכול להיות אשליה לגילוי ולמעקב - ברור שיש להם גישה למשאבים משמעותיים והם סלקטיביים במיקוד שלהם", הוא אומר. "סביר להניח שיש יותר פעילות מהשחקן הזה שעדיין לא התגלתה, ויש עוד פחות מידע על איך הם פועלים ברגע שהם התפשרו על יעד."
קבוצות איום איראניות התמקדו יותר ויותר בתעשיות רגישות כדי ללקט סודות ממשלתיים וקניין רוחני. בשנת 2021, מיקרוסופט ציינה שינוי דרמטי, למשל, של קבוצות סייבר הקשורות לאיראן המתמקדות בחברות שירותי IT כדרך לזנק לתוך הרשתות של לקוחות ממשלתיים. החברה זיהתה פריצות ושלחה החוצה 1,647 הודעות לחברות שירותי IT לאחר גילוי שחקנים מאיראן המכוונים אליהם, קפיצה מסיבית מ-48 הודעות כאלה בלבד שנשלחה על ידי מיקרוסופט ב-2020.
עשן ותוכנות זדוניות
מיקרוסופט ציינה כי Smoke Sandstorm - שמה של הקבוצה - פגעה בחשבונות הדוא"ל של אינטגרטור IT מבוסס בחריין בשנת 2021, ככל הנראה כדרך לקבל גישה ללקוחות ממשלתיים של החברה. מיקרוסופט שיבש חלק מפעולות ההתחזות של הקבוצה מאי 2022.
בעוד שקבוצת הצב - הידועה גם בשם UNC1549 על ידי גוגל ו- Imperial Kitten על ידי CrowdStrike - ממשיכה להתמקד בספקי שירותי IT, הקבוצה מנהלת כעת גם התקפות של חורי מים ודיוג בחנית כטקטיקת ההדבקה הראשונית העיקרית שלה.
עם זאת, קבוצת האיומים התארגנה מאז, ונכון לפברואר 2024, היא מכוונת לחברות תעופה וחלל, תעופה והגנה בישראל ובאיחוד האמירויות. כך מסרה גוגל בניתוח שלה. ייתכן שהקבוצה קשורה גם למתקפות סייבר על תעשיות דומות באלבניה, הודו וטורקיה.
"המודיעין שנאסף על הישויות הללו רלוונטי לאינטרסים אסטרטגיים איראניים, ועשוי להיות ממונף לריגול וגם לפעולות קינטיות", כתבה גוגל. "זה נתמך עוד יותר על ידי הקשרים הפוטנציאליים בין UNC1549 למשמרות המהפכה האיראנית."
הודעות הדיוג בחנית שולחות קישורים לאתרי אינטרנט שנראים כאתר עבודה - המתמקד במיוחד בתפקידים הקשורים לטכנולוגיה והגנה - או חלק מתנועת "החזירו אותם הביתה עכשיו" הקוראת להחזרת בני ערובה ישראלים.
שרשרת ההתקפה מובילה בסופו של דבר להורדה של אחת משתי דלתות אחוריות ייחודיות למערכת של הקורבן. MINIBIKE היא תוכנית C++ המעוצבת כדלת אחורית, המאפשרת חילוץ או העלאה של נתונים, כמו גם ביצוע פקודות. MINIBUS, הגרסה החדשה יותר שלו, כוללת יותר גמישות ו"תכונות סיור משופרות", לפי גוגל.
התקפות סייבר מותאמות אישית
נראה שקבוצת UNC1549 מבצעת סיור והכנה משמעותיים לפני התקפות, כולל שמירת שמות דומיין המותאמים לקבוצת היעד. בגלל רמת התוכן המותאם אישית שנוצר עבור כל חברה ממוקדת, קשה להעריך את המספר הכולל של ארגונים ממוקדים, אומר Leathery.
"הנתונים מצביעים על כך שהם מזהים יעדים ספציפיים [ולאחר מכן] כנראה מעצבים את האסטרטגיה שלהם סביב המטרה - למשל, הם רושמים דומיינים הקשורים ישירות למטרה ספציפית", הוא אומר. "במקרים רבים הם כוללים תוכן מטעה שיש ליצור או לחקור [או] לעשות זאת מחדש ממידע לגיטימי זמין לציבור."
Mandiant של Google Cloud דירג את הייחוס כביטחון "בינוני", מה שאומר שחוקרי האיום מאמינים שסביר מאוד שהפעילות בוצעה על ידי קבוצת UNC1549.
"אנחנו חושבים שסביר מאוד ש-UNC1549 ערך את זה, אבל אין מספיק ראיות כדי לשלול שזה יכול היה להיות קבוצה אחרת", הוא אומר. "עם זאת, אפילו בנסיבות בלתי סבירות אלה, אנו חושבים שזו פשוט קבוצה אחרת הפועלת לתמיכה ב- הממשל האיראני".
היזהר מקישורי דוא"ל ומשואות חשודות
בניתוח הטכני שלה, גוגל מפרטת אינדיקטורים ספציפיים של פשרה (IOCs) עבור התוכנה הזדונית MINIBIKE, כולל השימוש שלה בארבעה דומיינים של Azure עבור הפקודה והשליטה שלה, מפתח רישום של OneDrive לשמירה על התמדה, ותקשורת משואה העוברת על פני שלושה שמות קבצים המחקים רכיבי אינטרנט .
ה-MINIBUS החדש יותר, בינתיים, קומפקטי וגמיש יותר. גוגל מפרטת מספר שמות קבצי DLL שיכולים להיות בשימוש ומזהירה שהתוכנה הזדונית מנסה לזהות אם היא פועלת על מכונה וירטואלית וכן אם יישומי אבטחה פועלים.
עם ההסתמכות של UNC1549 על מטרות מחקר ודיוג מותאם אישית, חברות צריכות לחסום קישורים לא מהימנים בדוא"ל ולהיעזר בהכשרת מודעות כדי לעדכן את העובדים שלהם בשיטות הדיוג העדכניות ביותר, לפי גוגל.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/cyberattacks-data-breaches/illusive-iranian-hacking-group-ensnares-israeli-uae-aerospace-and-defense-firms
