ארה״ב, אוסטרליה ובריטניה באזהרה משותפת מפני מתקפות סייבר איראניות

האזהרה פורסמה בעקבות דוח חדש של מיקרוסופט, בו הוא מתריע מפני התפתחותן של מספר קבוצות תקיפה המקושרות לממשל בטהרן, תוך ניצול חולשות ידועות של מיקרוסופט Exchange ופורטינט

ארה״ב, אוסטרליה ובריטניה באזהרה משותפת מפני מתקפות סייבר איראניות

BIGSTOCK/copyright: www.globalnewsartt.com

גורמי סייבר זדוניים הפועלים על פי ההערכות בחסות הממשלה האיראנית מנצלים חולשות של מיקרוסופט Exchange ושל מיקרוסופט על מנת לנסות לבצע מתקפות. כך, על פי אזהרה משותפת שפורסמה על ידי ה-FBI, הסוכנות האמריקנית לאבטחת סייבר ותשתיות (CISA), מרכז אבטחת הסייבר האוסטרלי (ACSC), ומרכז אבטחת הסייבר הלאומי של בריטניה (NCSC).

״ה-FBI ו-CISA עוקבים אחרי קבוצת APT (ר״ת של איום מתמיד מתקדם, מ״ק) מסוימת בחסות ממשלת איראן, המנצלת חולשות של פורטינט לפחות מאז מרץ 2021 וחולשות ה-Proxyshell של Microsoft Exchange לפחות מאז אוקטובר 2021, על מנת לקבל גישה ראשונית למערכות לפני פעולות ההמשך, הכוללות פריסת תוכנת כופר. גם ACSC מודעות לקבוצה זו, שהשתמשה באותה טקטיקה באוסטרליה״, נכתב באזהרה.

על פי הרשויות, הקבוצה הזדונית מכוונת למספר רחב של קורבנות במגזרי התשתיות הקריטיות, דוגמת תחבורה ובריאות, אך מתמקדת בניצול נקודות תורפה ולאו דווקא בפגיעה מכוונת בתשתית ספציפית זו או אחרת. עוד מצוין ש״נראה ששחקני ה-APT הקימו חשבונות משתמש חדשים בשרתים, תחנות עבודה וספריות. נראה שחלק מהחשבונות הללו נוצרו כדי להיראות דומות לחשבונות קיימים״. על מנת להצפין את המידע לצרכיהם ניצלו ההאקרים את Bitlocker, טכנולוגיית ההצפנה של מיקרוסופט.

מיקרוסופט: קבוצות התקיפה האיראניות הולכות ומתפתחות

יממה לפני פרסום האזהרה המשותפת, פרסם מרכז מודיעין האיומים של מיקרוסופט דוח משלו, בו הוא מתריע מפני התפתחותן וגדילתן של שש תקיפה המקושרות לאיראן, אחריהן הוא עוקב בשנה האחרונה. החוקרים הבחינו בשלוש מגמות עיקריות: ההאקרים משתמשים יותר בתוכנות כופרה, הם מגלים התמדה ואורך רוח רבים יותר ברמת ההשקעה בהנדסה חברתית, והמתקפות שלהן אלימות ואגרסיביות.

החוקרים מציינים כי אחת מהקבוצות, בשם PHOSPHORUS (זרחן – מיקרוסופט משתמשת ביסודות מהטבלה המחזורית כשמות קוד עבור קבוצות תקיפה), עומדת מאחורי ניסיונות מתקפה רבים שניצלו את החולשות הידועות של פורטינט ו-Exchange, תוך פעולה בת חמישה שלבים: סריקה (של מיליוני כתובות IP פגיעות), ניצול, סקירה (עריכת ניסויים ושליחת מיילים של דיוג לאלפי אנשים כדי לבדוק את מי הכי כדאי לתקוף, כלומר מיהו הקורבן שצפוי לבסוף ללחוץ על הקישור הזדוני), הוצאה לפועל, ודרישת כופר.

״רק השנה, אספו התוקפים הרשאות מלמעלה מ-900 שרתי VPN של פורטינט מארה״ב, אירופה, וישראל״, נכתב בדוח.

כמובן, שלא רק האיראנים מנצלים את החולשות הידועות של מערכות ההפעלה הללו. מאז חשיפת מתקפת הענק על שרתי מיקרוסופט Exchange בחודש מרץ האחרון – שעל פי החברה נגרמה על ידי קבוצת לאום סינית המכונה הפניום – מנסות קבוצות רבות בעלות אינטרסים לאומיים ואחרים לפגוע בארגונים שונים ברחבי העולם על ידי פריצה לשרתים.  

אולי יעניין אותך גם

מייסדי ארמיס, יבגני דירדוב ונדיר יזרעאל. צילומים: אלעד מלכה

ארמיס מגייסת 300 מיליון דולר לפי שווי של 3.4 מיליארד דולר

גיוס זה מתבצע שמונה חודשים לאחר גיוס קודם, בשווי של 2 מיליארד דול. כל הכסף ייכנס לקופת החברה, שמתכננת לרכוש חברות חדשניות בתחומי פעילותה, להרחיב את מערכי השיווק והמכירות ולהגדיל בשנה את מספר העובדים