AI Squared, חברת טכנולוגיה קטנה שממוקמת בפינה ירוקה של ורמונט, ארה"ב, בונה תוכנה שמשנה אתרים כדי לסייע לאלו שיש להם מוגבלות בראייה שמפריעה להם בשימוש באינטרנט. היא אף פעם לא ציפתה להפוך לקורבן תמים בקמפיין ריגול סייבר בינלאומי שמבוצע לכאורה על ידי איראן.
אך AI Squared היא כעת הוכחה חיה שכל עסק אמריקאי, בין אם בסדר גודל של מיקרוסופט או מצומצם יותר, הוא קורבן פוטנציאלי לצבא הדיגיטלי של איראן, שהופך ליותר ויותר מתוחכם ופורה. למעשה, AI Squared הפכה לעסק האמריקאי הפרטי היחיד שידוע ככזה שעמד כמטרה של צוות צעיר מאיראן שידוע כ-OilRig. מאז שהוקם בסוף 2015, OilRig הפך לאחד מארגוני הפריצה במחשב הפעילים ביותר שמומנו בידי הממשלה האיראנית, לפי מומחי אבטחת סייבר וחברות מודיעין אמריקאיות וישראליות. פורבס חושף כעת לראשונה כמה מהמטרות האלו, ומראה את החדירה העולה של הארגון למערכות ברחבי העולם, בפרק זמן של פחות משנה.
בעוד שרוב הקבוצות האיראניות מכוונות בדרך כלל לתחום נישה של מטרות מקומיות וזרות, ובמיוחד בסוכנויות ממשלתיות ובארגוני מתנגדים לשלטון, OilRig מתמקד בתעשייה הפרטית מחוץ לאיראן. "מה שמעניין לגבי OilRig הוא עד כמה הוא ממוקד במטרות זרות ומעונין במגזר הפרטי כפי שהוא מעניין בביסוס דיפלומטי", הסביר קולין אנדרסון, חוקר מוושינגטון שכותב דוח עבור קרנגי מלון על כוח הסייבר הכללי של איראן. בנוסף, למרות שלא ברור איזה מידע בדיוק OilRig שאב מהמערכות שפרצן אליהן, היחידה מייצגת שינוי באסטרטגיית הסייבר של איראן – ממתקפות הרסניות, כמו הפגיעה הידועה לשמצה בקזינו לאס וגאס סאנדס ב-2014, למעקב חשאי אחר מטרות.
פלטפורמה אמריקאית למתקפות
הבעיות של AI Squared בשבוע השני של ינואר, כאשר החברה קיבלה אזהרה מבהילה מענקית האבטחה Symantec: אישורים עבור הטכנולוגיה שלה שמעוצבים להבטיח את האותנטיות שלה – הועמדו בסכנה. מה ש-Symantec לא אמרה, ומה ש-AI Squared חוקרת כעת לאחר החשיפה של פורבס של הקשר האיראני, הוא כי OilRig היתה אחראית לכך.
הצוות האיראני גנב את האישורים של AI Squared ואז השתמש בהם כדי להסוות את התכונות הזדוניות שלו עצמו. המטרה היתה להפוך את כלי הפיקוח שלהם לכאלו שנראים לגיטימיים למערכות אבטחה של מטרות רבות במזרח התיכון, אירופה וארה"ב, כפי שצוין בדוח של חברת האבטחה הישראלית ClearSky בתחילת ינואר. לפי ClearSky, ההאקרים של OilRig דחפו את כלי הריגול האלו בשני דפים מזויפים של אוניברסיטת אוקספורד בנובמבר 2016, האחד הצהיר כי הוא מציע משרות במוסד והשני מציע הרשמה לוועידה. שניהם עודדו את המבקרים להוריד מסמכים, אחד להשלים את ההרשמה לאירוע המזויף והמסמך השני "ייועד" ליוצר קורות החיים של האוניברסיטה. ברגע שהם לחצו על הכפתור, התוכנה הזדונית של הצוות, שנקראת Helminth, החלה לרוץ, מה שאיפשר לצוות OilRig להחזיק במחשבים הנייחים של המטרות ולגנוב מידע.
AI Squared, הנמצאת בבעלות חברת VFO מפלורידה מאז רכישתה ב-2016, קיבלה פרטים מעורפלים בלבד מ-Symatec והיא כעת פותחת בחקירה. "האם מישהו אחר יכול היה לפרוץ למערכות שלנו? אנחנו די מאובטחים כאן, אבל הם פרצו לבית הלבן, הם יכולים לפרוץ לכל מקום שהם רוצים", אמר סקוט מור, סמנכ"ל שיווק בקבוצת VFO, אשר טוענת להיות "ספקית הטכנולוגיה המסייעת המובילה בעולם עבור בעלי מוגבלות בראייה". החברה עדיין לא מצאה אילו שהן מסקנות.
הייחודיות של OilRig – מתעניין במגזר הפרטי מחוץ לאיראן | צילום: fotolia
ירי על פקידי ממשלה
ארגונים רבים אחרים הפכו לקורבנות של צוות OilRig בשנים האחרונות. פירמות מודיעין מאמינות כי OilRig השתלט על כמה חשבונות מייל של ארגונים פרטיים וציבוריים. עם הגישה הזו, הם מרחיבים את מסע הפישינג (השגה במרמה של מידע) שלהם בארה"ב, ערב הסעודית, טורקיה ומעבר להן.
מייל פישינג של OilRig מיולי 2016 שנצפה על ידי פורבס, מוען לשלושה פקידים במשרד החוץ של טורקיה. מדובר ביועץ למשלחת הקבועה של טורקיה באו"ם, שנמצא בניו יורק, חבר סגל בשגרירות הטורקית בריגה, לטביה, ופקיד נוסף שנמצא בטורקיה. המייל נשלח מכתובת צ'ק אין רשמית של טורקיש איירליינס, מה שמצביע על כך שההאקרים פרצו למייל של חברת התעופה או תעתעו בו. ההודעה עודדה את המשיב לספק פרטי כניסה דרך קובץ אקסל מצורף. ברגע שנפתח, התוכנה הזדונית Helminth החלה לרוץ.
היועץ הטורקי בניו יורק אמר כי הוא מעולם לא ראה את מייל הפישינג, ולכן לא יכול היה ללחוץ על הקישור. בזמן הפרסום, המטרות האחרות לא השיבו לבקשות רבות לתגובה. טורקיש איירליינס לא הגיבה גם היא. למרות שמייל הפישינג עצמו הראה את מי OilRig ניסה לחשוף, לא ידוע אם מישהו מהארגון נפרץ בהצלחה.
אך מסמכים זדוניים דומים נשלחו לכמה ארגונים ממשלתיים אחרים ברחבי העולם, לדברי חברת הסייבר Palo Alto Networks (שאחד ממייסדיה הוא ניר צוק הישראלי), אשר היתה הראשונה לפרסם את מייל הפישינג, מבלי לחשוף את שמות הצדדים המעורבים.
מתקפות על התעשייה הפרטית
OilRig עקבה אחר כמה חברות פרטיות גם כן. פישינג נוסף נעשה במאי 2016 על ידי ההאקרים, כאשר לפי המטא-נתונים בכותרות העליונות של המייל, הוא נשלח משרתים של AL-Elm, קבלן ממשלתי של ערב הסעודית וספק אבטחת IT. זה יכול להצביע על דליפה ב-Al-Elm, לפי חוקר האבטחה שהראה לפורבס את המייל.
ההודעה היתה חלק משרשור מיילים מתמשך בין Al-Elm ו-Samba, חלק מ-Samba financial Group, המלווה השלישית בגודלה במדינה, שרווחיה עמדו על 290 מיליון דולר ברבעון האחרון. ההודעה הכילה גרסה של חבילת הפיקוח של Helminth, אשר תחל לרוץ ברגע שהמשיב יפתח את המסמך המצורף – במקרה זה קובץ אקסל שנקרא "notes.xks". לא Al-Elm ולא Samba השיבו לבקשות שלנו לתגובה.
לפי דוח שיצא ביום רביעי שעבר על ידי חברת הסייבר האמריקאית SecureWorks, שכינתה את צוות OilRig "Cobalt gypsy", הקבוצה היתה פעילה בינואר השנה, ושלחה הודעות עם תוכנות זדוניות מכתובות מייל לגיטימיות ששייכות לאחת מספקיות ה-IT הגדולות ביותר של ערב הסעודית, The National Technology Group, ומחברת שרותי IT מצרית, ITWorx. מחשבונות המייל האלו, ישות מזרח תיכונית עלומת שם הושמה למטרה עם הודעות שמבטיחות קישורים להצעות עבודה. חבויות בתוך הקבצים המצורפים היו PupyRAT, תוכנה טרויאנית עם גישה מרחוק (RAT), או "חולדה" בעברית, שעובדת בפלטפורמות אנדרואיד, לינוקס וחלונות. תוכנה זדונית זו מאפשרת לתוקף להיכנס למחשב הקורבן, להוציא ממנו מידע או להתקין תוכנות אחרות על המחשב – ללא ידיעת המשתמש.
נתניהו וטראמפ בספטמבר השנה | צילום: קובי גדעון, לע"מ
לא National Technology Group או ITWorx הגיבו לכתבה. בדיוק כמו במקרה של Al-Elm, ניתוח הכותרות העליונות של מיילים הפישינג הצביע על כך שהמקור שלהם היה בתוך הארגון של השולח, ולא היו הונאה, לפי Secureworks. זה מצביע על כל ש"השחקן המאיים פרץ בעבר לארגונים האלו", מסבירה אליסון ויקוף, אנליסטית המודיעין ב-SecureWorks.
היחידה שמטפלת באיומים ב-SecureWorks הודיעה שוב ושוב ללקוחות שלה ברחבי המגזר הפרטי והממשלתי, המדורגים ב"רמת ביטחון גבוה", כי OilRig "מקושרת עם פעולות סייבר של הממשלה האיראינית". חברת הסייבר CrowdStrike, אשר מכנה את הקבוצה "Twisted Kitten", קישרה אותה עם איראן גם כן. והחברה הישראלית ClearSky הוליכה את עקבות הצוות בחזרה לאומה המזרח תיכונית.
"הם פעילים מאוד, אולי הקבוצה הפעילה ביותר באיראן", ציין ראפה פילינג, חוקר אבטחה ב-SecureWorks. "הם מסוגלים והם הוכיחו את היכולת הזו למנף את פעולות הפישינג שלהם".
הממשלה האיראנית לא ענתה לבקשה לתגובה על קבוצת OilRig בזמן הפרסום. בעבר, איראן הכחישה מעורבות בריגול סייבר ומתקפות דיגיטליות על מערכות זרות.
מרגלי הסייבר חסרי המעצורים של איראן
מחוץ ל-OilRig, דיווחים אחרים על פעילות איראנית גרמו לתמרור אזהרה בקרב קהילת הסייבר בשנה שעברה, עבור התחכום והחידוש שלה גם יחד. אחד מתוך דוגמאות תוכנות זדוניות במאק קושר לממשלה האיראנית מוקדם יותר החודש. רק בשנה שעברה ארה"ב העמידה לדין שבעה איראנים בשל ההשתתפות שלהם לכאורה במתקפות על מוסדות פיננסיים בארה"ב. אחד הועמד לדין גם על ניסיון לפרוץ ל-Bowman Dam בניו יורק. הנאשמים מתגוררים באיראן ולכן הם לא צפויים להיות מוסגרים כדי לעמוד לדין. איראן הכחישה מעורבות במתקפות.
אנדרסון, שחשף את התוכנה הזדונית במאק, ציין כי איראן יצרה תערובת של האקרים, חלקם מסוגלים לגרום לנזק חמור. "זה כאוטי, חמישה או שישה אנשים רכשו את התוכנה הזדונית הזו", אמר אנדרסון, שעוקב אחר כמות ניכרת של פעילות סייבר איראנית עם החוקר העמית קלאודיו גוארנירי. "לפעמים הם עושים נזק קטסטרופלי, אך רוב הזמן לא כל כך".
מומחי סייבר אמריקאים בודקים כעת כיצד OilRig והצוותים האחים שלו יגיבו לעמדת משטר טראמפ על איראן, ובתוך כך על תגובתם לפגישת הנשיא עם ראש ממשלת ישראל בנימין נתניהו בסוף השבוע. "האיראנים נזהרים לגבי הסתת ארה"ב עד שהם יראו כיצד הפקידים של טראמפ מתיישרים עם המדיניות הקשורה לאיראן", סיפר ג'יימס לואיס, מומחה אבטחה ומודיעין במרכז ללימודים אסטרטגיים ובינלאומיים. "בואו נראה מה יקרה לאחר ביקור נתניהו".
|
|