חוקרי ESET חשפו קמפיין סייבר חדש ומתוחכם של קבוצת MuddyWater האיראנית, הפועלת מטעם משרד המודיעין האיראני ונחשבת לאחת מקבוצות הריגול הפעילות ביותר במזרח התיכון. הקמפיין כוון בעיקר לארגוני תשתית בישראל וליעד נוסף במצרים. על פי הממצאים, הקורבנות בישראל כללו חברות טכנולוגיה, גופים הנדסיים, מפעלי ייצור, רשויות מקומיות ומוסדות אקדמיים, מה שמעיד על מאמץ רוחבי לפגיעה במערכות חיוניות ובארגונים בעלי יכולות השפעה כלל מערכתית.
במסגרת החקירה זוהו כלים חדשים שלא תועדו בעבר, שנועדו לשפר את יכולת ההסוואה, איסוף המידע והשליטה של התוקפים במערכות שנפרצו. בין הכלים נמצאו דלת אחורית חדשה בשם MuddyViper , מספר גונבי סיסמאות מתקדמים, וקובץ זדוני המקודד כך שיתחזה למשחק מחשב פשוט במטרה לעכב את חשיפתו. ממצאים אלה מצביעים על יכולת גוברת מצד התוקפים לפעול לאורך זמן בתוך הארגון ולבצע איסוף נתונים משמעותי מבלי לעורר חשד.
שיטת תקיפה מתוחכמת, טעינת קוד לזיכרון והתחזות לכלים לגיטימיים
חדירת התוקפים בוצעה בעיקר באמצעות הודעות דואר אלקטרוני ממוקדות שנראו תמימות לחלוטין. ההודעות כללו קבצי PDF שכללו קישור להורדת תוכנות שליטה מרחוק, לכאורה לצורכי תמיכה טכנית או עדכון תוכנה. בפועל מדובר בכלים זדוניים שהורדו מאתרי אחסון חינמיים, והותקנו על ידי הקורבן מבלי להבין כי הם מהווים חלק משרשרת תקיפה רחבה.
אחת מהיכולות הבולטות שנחשפו בקמפיין היא מטען זדוני המתוכנן להיראות כמו משחק מחשב נוסטלגי. מאחורי ההסוואה תמימה מסתתרת מערכת מתוחכמת שמטעה את מערכות ההגנה באמצעות עיכובים מחושבים, תוך טעינת מרכיבי התקיפה ישירות אל זיכרון המחשב ללא כתיבה לדיסק. זהו מהלך שמקשה מאוד על מערכות זיהוי ואיתור, ומאפשר לתוקפים לבצע גניבה והעברה של מידע ללא השארת עקבות על המחשב.
הדלת האחורית שנחשפה מאפשרת לתוקפים לאסוף פרטים על המערכת, להריץ פקודות מרחוק, להוריד ולהעלות קבצים, ולגנוב פרטי התחברות מתוך הדפדפנים של המשתמשים. מערך זה משמש את התוקפים כתחנת שליטה בתוך הארגון, ומספק להם אחיזה יציבה לאורך זמן.
מממצאי החקירה עולה כי בחלק מהמקרים פעלה MuddyWater במקביל לקבוצה איראנית נוספת, תופעה המעידה על תיאום בין מספר גורמי תקיפה והרחבת היקף הפעולה למספר גזרות בו זמנית. ממצאים אלה מחזקים את ההערכה כי מדובר במערך תקיפה מדינתי ולא בקבוצה עצמאית.
אבנר מימון: "עלייה ברמת התחכום והיקף הפגיעה מחייבת הגנה רב שכבתית"
"חשיפת הקמפיין הזה ממחישה עד כמה קבוצות התקיפה האיראניות משקיעות בשיפור היכולות שלהן ובשכלול דרכי ההסוואה", אומר אבנר מימון, מנכ"ל קומסקיור, המפיצה הבלעדית של ESET בישראל. "השילוב בין כלים חדשים, התחזות מתוחכמת ותכנון מדויק של כל שלבי התקיפה הוא סימן אזהרה לכל ארגון שמפעיל מערכות חיוניות או מחזיק מידע רגיש. זוהי תזכורת לכך שמערכי ההגנה חייבים להיות רב שכבתיים ולכלול ניטור מתמשך, בקרה על הרשאות ומשמעת אבטחת מידע גבוהה. מדובר באיום שאינו רק טכנולוגי אלא גם אסטרטגי, ויש להיערך אליו ברמת הנהלה ולא רק ברמת מערכות המידע".
