החזית הבלתי ידועה מכיוון לבנון: כך פעלה קבוצת הריגול

מחקר חדש של חברת אבטחת המידע ESET חושף – קמפיין ריגול נגד ארגונים ישראליים מבוצע על ידי קבוצת תקיפה הממוקמת בלבנון ומתואמת עם איראן | הקמפיין שהחל בספטמבר 2021 התמקד ביותר מ-12 ארגונים בישראל העוסקים בהנדסה, טכנולוגיות מידע, משפט, תקשורת, שירותים חברתיים, שיווק ומדיה

מתקפת סייבר | צילום: freepik

חברת אבטחת המידע ESET מדווחת על דלתות אחוריות מותאמות אישית שלא תועדו בעבר ועל כלי ריגול שנפרסו בישראל על ידי קבוצת התקיפה POLONIUM.  על פי נתוני הטלמטריה של ESET, קבוצת התקיפה התמקדה ביותר מ-12 ארגונים בישראל מאז ספטמבר 2021, כאשר חלק מהפעולות האחרונות תועדו ממש בחודש שעבר, ספטמבר 2022. תחומי העיסוק של הארגונים בהם התמקדה הקבוצה כוללים הנדסה, טכנולוגיות מידע, משפט, תקשורת, מיתוג ושיווק, מדיה, ביטוח ושירותים חברתיים.

קבוצת התקיפה פולוניום היא קבוצת ריגול סייבר שתועדה לראשונה על ידי מיקרוסופט בחודש יוני האחרון. לפי מיקרוסופט הקבוצה ממוקמת בלבנון ומתאמת את פעילותה עם גורמים נוספים המזוהים עם משרד המודיעין והביטחון האיראני. לפי ESET, קבוצת התקיפה היא שחקן פעיל מאוד עם מגוון עצום של כלים ותוכנות זדוניות, אותם הוא משנה כל הזמן ומפתח חדשים. מאפיין משותף של הכלים בהם הקבוצה עושה שימוש הוא ניצול לרעה של שירותי ענן כמו Mega ו-OneDrive לתקשורת שליטה ובקרה (C&C). דיווחים מודיעיניים על הקבוצה הזו הם מאוד נדירים, ככל הנראה בגלל שהתקפות הקבוצה ממוקדות מאוד ואופן הפעולה הראשוני אינו ידוע.

ב-ESET מעריכים כי מירב מאמצי הקבוצה הם לרגל אחר המטרות, ולפי ניתוח הכלים בהם הקבוצה משתמשת נראה כי מעניין אותה בעיקר איסוף נתונים סודיים ולאו דווקא בביצוע תחבולות או מתקפות כופר.

ערכת הכלים של POLONIUM כוללת לא פחות משבע דלתות אחוריות מותאמות אישית:

  • CreepyDrive, העושה שימוש לרעה בשירותי הענן של OneDrive ו-Dropbox עבור C&C
  • CreepySnail, שמבצעת פקודות שהתקבלו מהתשתית של התוקפים עצמם
  • DeepCreep ו-MegaCreep, העושות שימוש בשירותי אחסון קבצים של Dropbox ו-Mega
  • FlipCreep, TechnoCreep ו-PapaCreep, המקבלים פקודות משרתי התוקפים.

הקבוצה גם פיתחה מספר מודולים מותאמים אישית כדי לרגל אחר מטרותיה באמצעות צילום מסך, תיעוד הקשות, ריגול באמצעות מצלמת האינטרנט, קבצים ועוד.

רוב המודולים הזדוניים של הקבוצה הם קטנים, עם פונקציונליות מוגבלת. באחד המקרים, התוקפים השתמשו במודול אחד לצילום צילומי מסך ובאחר להעלאתם לשרת C&C. בנימה דומה, הם אוהבים לחלק את הקוד בדלת האחורית שלהם, להפיץ פונקציונליות זדונית לקובצי DLL קטנים שונים, אולי בציפייה שחוקרים לא יצפו בשרשרת ההתקפה השלמה", מסביר החוקר מאתיאס פורולי מ-ESET.

כתיבת תגובה