ברקע האיומים מכיוונה של טהרן לנקמה על פעילויות המיוחסות לישראל, חושפת היום (רביעי) חברת הסייבר סייבריזן תשתית ריגול מתקדמת המיוחסת לקבוצה אירנית. הקבוצה פעלת על מנת לגנוב מידע רגיש ולרגל אחר יעדים שונים בישראל, ברחבי המזרח התיכון, בארה"ב ובאירופה. בתום חקירה ארוכה שנמשכה חודשים רבים, צוות המחקר של סייבריזן חשף קמפיין תקיפה רחב אשר מיוחס לקבוצת התקיפה המכונה MalKamak. מהחקירה עולה כי הקבוצה פעלה משנת 2018 ולא נחשפה עד היום. התוקפים פעלו בצורה חשאית ומדוקדקת, וניסו לחדור ליעדים אסטרטגיים, בעיקר בקרב חברות וארגונים העוסקים בתקשורת נתונים, טכנולוגיות אוויריות וחקר החלל. הארגונים שנפגעו והגורמים הביטחוניים הרלוונטיים עודכנו על ידה על התקיפה, אולם טרם התבהר הנזק הממשי שנגרם.

במהלך קמפיין התקיפה השתמשו התוקפים בכלי תקיפה מסוג (RAT (Remote Access Trojan המכונה ShellClient אשר לא תועדה כלל עד היום והתפתחה באופן משמעותי במהלך השנים. הנוזקה הוחדרה לתשתיות הארגונים ושימשה ככלי מרכזי לריגול וגניבת מידע רגיש של תשתיות קריטיות, נכסים וטכנולוגיות שונות. התוקפים ניצלו את השימוש הרחב ב-Dropbox (המציעה שירותים חינמים של אחסון בענן) לטובת שליטה מרחוק בנוזקה, תחת מסווה של תעבורת רשת לגיטימית. באמצעות כך סרקו האירנים את הרשתות הפנימיות וגנבו מידע מבלי להיחשף על ידי תוכנת אנטי וירוס או אמצעי הגנה אחרים. במהלך החקירה נמצאו קשרים אפשריים לקבוצות תקיפה איראניות נוספות, אולם המחקר מדגיש כי שיטת הפעולה הייחודית של קבוצת MalKamak מבדילה את פועלה משאר הקבוצות האחרות.

האקר, פריצה, טלפון, סייבר (צילום: 123RF, חדשות)
צילום: 123RF, חדשות
חברת סייבריזן (צילום: מיכה לובוטון)
סייבריזן | צילום: מיכה לובוטון

"בחודשים האחרונים צוות המחקר של סייבריזן חשף שורה של תשתיות ריגול במדינות שונות אשר בכולן התוקפים עקפו את מערכות ההגנה הקיימות ואף ניצלו אותן לטובתם", אמר ליאור דיב, מנכ"ל ומייסד סייבריזן. "פריסת מערכות הגנה מרובות אשר מייצרות מספר רב של התראות לא מסייע בעצירת מתקפות מתוחכמות. הפתרון של סייבריזן אשר זיהה את התקיפה הזו מסתמך על ניתוח התנהגותי ונותן תמונת מצב מלאה וממוקדת בזמן אמת".

_OBJ

לדבריו של אסף דהן, ראש קבוצת מחקר איומי סייבר בסייבריזן, מדובר בקבוצה מתוחכמת: "המחקר החל לאחר שצוותי המחקר וניהול המשברים של סייבריזן נקראו לסייע לאחת החברות שהותקפו. במהלך הטיפול באירוע ולאחר התקנת הטכנולוגיה שלנו על מחשבי הארגון, זיהינו נוזקה מתוחכמת וחדשה שטרם נראתה או תועדה. חקר מעמיק של הצוות הצביע על כך שהתקיפה היא למעשה חלק אחד מתוך קמפיין ביון אירני שלם, אשר מתנהל בחשאיות ומתחת לרדאר בשלוש השנים האחרונות. על פי ממצאי המחקר, ולפי העקבות המעטות שהשאירו התוקפים מאחור, ניתן להבין בבירור כי הם פעלו ביסודיות ובחרו את קורבנותיהם באופן קפדני. מדובר בתוקף אירני מתוחכם, שפעל במקצועיות לפי אסטרטגיה שקולה ומחושבת. הסיכון הפוטנציאלי אשר טמון בקמפיין תקיפה שכזה הוא גדול ומשמעותי עבור מדינת ישראל ואף עשוי להוות איום ממשי".