דוח של ענקית האינטרנט גוגל חושף פרטים חדשים ומרתקים על אחת מקבוצות ההאקינג הגדולות והמוצלחות בעולם: קבוצת APT42 האיראנית, שלטענת מומחים היא שעומדת מאחורי הפריצות בשבועות האחרונים לקמפייני הבחירות לנשיאות של שתי המפלגות הגדולות בארה"ב. חומרים חסויים ותכתובות מייל פרטיות מהפריצה לקמפיין של המפלגה הרפובליקנית וטראמפ אף הודלפו לעיתונות.

לפי מחברי הדוח בגוגל, הסכנה של APT42 לא שמורה רק לפוליטיקאים אמריקנים: לדבריהם, הקבוצה אף מנסה והצליחה בעבר לחדור ולחשוף מידע של בכירים ישראלים, בהם גם פוליטיקאים וגם בכירים בצה"ל. בעבר דיווחה חברת אבטחת המידע הישראלית צ'ק פוינט שההאקרים האיראנים של APT42 הצליחו לאסוף מידע אישי ממחשבים של אנשי צבא, ראש מכון מחקר לביטחון לאומי, שגריר ישראל לשעבר, בכיר בתעשיות הביטחוניות ואף שרת החוץ לשעבר ציפי לבני.

טראמפ בכנס ארגון העיתונאים השחורים (צילום: AP)
טראמפ בתחילת החודש | צילום: AP

"הם על הכוונת שלנו כבר הרבה מאוד שנים. מדובר בקבוצה שהיא חלק ממשמרות המהפכה והם החלו לפעול כבר ב-2015", אמר ל-N12 מחבר הדוח ג'ון הולטקוויסט, אנליסט בכיר בגוגל. "קבוצת APT42 מתמקדת בפעילות סביב האינטרסים הפוליטיים והצבאיים של איראן במזרח התיכון. הם מתמקדים גם בארה"ב וגם בבכירים איראנים לשעבר, בעיקר כאלה שגלו מהמדינה.

"זו קבוצת ההאקינג האיראנית הכי פעילה שראינו עוד לפני 7 באוקטובר. הפעילות שלהם ענפה מאוד ופורייה מאוד. הם עובדים הרבה ועובדים לרוחב. הם מבצעים פרויקטים ענקיים ומגיעים להרבה מאוד אנשים בכירים בכל תחומי הממשל, הצבא והתעשייה".

הגילוי שהקבוצה עוקבת אחרי הקמפיינים לנשיאות ארה"ב לא הפתיעה את חוקרי גוגל. "ראינו אותם עושים את זה גם לפני ארבע שנים", אומר הולטקוויסט. "אנחנו יודעים שיש רצון גדול של המשטר האיראני להתנקם בטראמפ. בתקופת בחירות הגיוני לראות את המיקוד של קבוצות כאלה בקמפיינים, שם מתבצעים רוב ההחלטות המדיניות הגדולות לעתיד. זה נותן למנהיגות האירנית הזדמנות לקבל תובנות על האופן שבו הממשל האמריקאי עומד להיראות.

"המעניין הוא שבדרך כלל ראינו את הקבוצה הזו מבצעת התקפות במטרה לאסוף מידע מודיעיני עבור המשטרה האיראני - הפעם הם עוסקים ממש בהפחדה בכך שהמידע שהם אספו נשלח לעיתונאים כדי שיזכה בפרסום פומבי".

האקר איראני (אילוסטרציה) (אילוסטרציה: 123RF‏)
האקר איראני (אילוסטרציה) | אילוסטרציה: 123RF‏

"מנהלים מערכת יחסים ארוכה עם הקורבן"

הדוח של גוגל חושף כמה משיטות הפעולה של קבוצת APT42 האיראנית. עם שיטות אלו נמנות הקמה של עמודי אינטרנט מזויפים שמסייעים באיסוף מידע על משתמשים, כמו עמוד שמתחזה לאתר איסוף תרומות לארגונים יהודיים. שיטה אחרת היא מיילים שמובילים לאתרים מזויפים שמתחזים לאתרים לגיטימיים - שיטה המכונה פישינג - ובה קורבן ההונאה מזין את פרטי ההתחברות שלו לשירותים מקוונים.

"אני לא רוצה לזלזל ביכולות הטכנולוגיות של הקבוצה", אומר הולטקוויסט, "אבל חשוב לזכור שהאקרים מנצלים יותר חולשות אנושיות ופחות פרצות טכנולוגיות. היכולות האמיתיות והמרשימות של חברי APT42 היא ביכולות ההנדסה החברתית (Social Engineering) שלהם.

"הבעיה בשיטת הפישינג היא שמרגע שעולים על לינק שנראה חשוד - כל הארגון [שאליו ניסו לחדור] מקבל אזהרה עליו", מסביר הולטקוויסט. לדבריו, כדי להימנע מזיהוי, ההאקרים נדרשים להרבה זמן וסבלנות: "לפעמים הם ינהלו ממש מערכת יחסים ארוכה עם מי שהם מעוניינים לפרוץ אליו. הם יבנו אמון לאט-לאט, ינהלו שיחות מקצועיות או אישיות ארוכות - ורק אחרי מאמץ שלפעמים עשוי לארוך חודשים יצליחו לבצע את הפריצה. אנחנו רואים שפעמים רבות הם מתחזים לעיתונאים או חוקרי אקדמיה כדי לגרום לקורבן לחשוף יותר מידע".

_OBJ

לפי הולטקוויטס, ההאקרים האיראנים של APT42 מבינים מאד קודים חברתיים ושיח אמריקני "כך שהם יכולים להתחזות לעיתונאים אמריקנים בקלות", הוא אומר. "ראינו גם שהקבוצה בונה עמודי אינטרנט שנראים על פניו מאוד לגיטימיים, כמו חשבונות בטוויטר שנראים כמו אתר חדשות עם אלפי עוקבים. דרך החשבון הם יכולים לפנות לאדם שלו הם ירצו לפרוץ. יש להם הרבה מאוד סבלנות והרבה מאוד חוצפה".

עד כמה העבודה של הההאקרים האיראניים טובה? "אני עוסק בתחום הזה כבר יותר מעשור וראיתי כל כך הרבה שיטות לפרוץ לחשבונות הפרטיים של משתמשים - ואני יודע שגם אני יכול ליפול בפח", מודה הולטקוויסט. "חשוב תמיד לשים לב ולהפעיל מנגנוני הגנה לכל חשבון, כמו מנגנון חיבור בשני צעדים וכמובן תמיד לשים לב עם מי מדברים ברשת".