חוקרי האבטחה של ESET חשפו קמפיין סייבר חדש ומתוחכם של קבוצת MuddyWater האיראנית הפועלת מטעם משרד המודיעין והביטחון הלאומי האיראני.
הקמפיין כוון בעיקר לארגוני תשתית בישראל וליעד נוסף במצרים, כאשר הקורבנות בישראל כללו חברות טכנולוגיה, גופים הנדסיים, מפעלי ייצור, רשויות מקומיות ומוסדות אקדמיים.
קבוצת MuddyWater נחשבת לאחת מקבוצות הריגול הפעילות ביותר במזרח התיכון, והקמפיין החדש מעיד על מאמץ רוחבי לפגיעה במערכות חיוניות ובארגונים בעלי יכולות השפעה כלל מערכתית.
הקבוצה פועלת מאז 2017 ומתמקדת בריגול סייבר, בעיקר כנגד גופים ממשלתיים וארגוני תשתית במזרח התיכון.
כלים חדשים ושיטות הסוואה מתקדמות
במסגרת החקירה זוהו כלים חדשים שלא תועדו בעבר, שנועדו לשפר את יכולת ההסוואה, איסוף המידע והשליטה של התוקפים במערכות שנפרצו.
בין הכלים נמצאו דלת אחורית חדשה בשם MuddyViper, מספר גונבי סיסמאות מתקדמים (CE-Notes, LP-Notes ו-Blub), וקובץ זדוני המקודד כך שיתחזה למשחק מחשב פשוט במטרה לעכב את חשיפתו.
בנוסף, התוקפים השתמשו בכלי VAX One, דלת אחורית המתחזה לתוכנות לגיטימיות כמו Veeam, AnyDesk, Xerox ושירות העדכונים של OneDrive.
ממצאים אלה מצביעים על יכולת גוברת מצד התוקפים לפעול לאורך זמן בתוך הארגון ולבצע איסוף נתונים משמעותי מבלי לעורר חשד.
שיטת התקיפה
חדירת התוקפים בוצעה בעיקר באמצעות הודעות דואר אלקטרוני ממוקדות שנראו תמימות לחלוטין.
ההודעות כללו קבצי PDF שכללו קישור להורדת תוכנות ניהול ושליטה מרחוק כמו Atera, Level, PDQ ו-SimpleHelp, לכאורה לצורכי תמיכה טכנית או עדכון תוכנה.
הקבצים הורדו מפלטפורמות שיתוף קבצים חינמיות כמו OneHub, Egnyte ו-Mega, והותקנו על ידי הקורבן מבלי להבין כי הם מהווים חלק משרשרת תקיפה רחבה.
אחת מהיכולות הבולטות שנחשפו בקמפיין היא כלי Fooder – מטען זדוני המתוכנן להיראות כמו משחק ה-Snake הקלאסי.
מאחורי ההסוואה תמימה מסתתרת מערכת מתוחכמת שמטעה את מערכות ההגנה באמצעות עיכובים מחושבים (המבוססים על לוגיקת משחק Snake), תוך טעינת מרכיבי התקיפה ישירות אל זיכרון המחשב ללא כתיבה לדיסק – מהלך שמקשה מאוד על מערכות זיהוי ואיתור.
יכולות הדלת האחורית
הדלת האחורית MuddyViper מאפשרת לתוקפים לאסוף פרטים על המערכת, להריץ פקודות מרחוק, להוריד ולהעלות קבצים, ולגנוב פרטי התחברות מתוך הדפדפנים של המשתמשים.
מערך זה משמש את התוקפים כתחנת שליטה בתוך הארגון, ומספק להם אחיזה יציבה לאורך זמן.
גונבי הסיסמאות שזוהו כוללים את CE-Notes המכוון לדפדפנים מבוססי כרומיום, LP-Notes המאמת ומארגן את האישורים הגנובים, ו-Blub הגונב נתוני התחברות מדפדפני Chrome, Edge, Firefox ו-Opera.
אבנר מימון, מנכ”ל קומסקיור, מפיצת ESET בישראל, מסר:
חשיפת הקמפיין הזה ממחישה עד כמה קבוצות התקיפה האיראניות משקיעות בשיפור היכולות שלהן ובשכלול דרכי ההסוואה. השילוב בין כלים חדשים, התחזות מתוחכמת ותכנון מדויק של כל שלבי התקיפה הוא סימן אזהרה לכל ארגון שמפעיל מערכות חיוניות או מחזיק מידע רגיש.
מערכי ההגנה חייבים להיות רב שכבתיים ולכלול ניטור מתמשך, בקרה על הרשאות ומשמעת אבטחת מידע גבוהה. מדובר באיום שאינו רק טכנולוגי אלא גם אסטרטגי, ויש להיערך אליו ברמת הנהלה ולא רק ברמת מערכות המידע.
ניתן לקרוא מידע נוסף על מחקר האבטחה החדש במאמר MuddyWater: Snakes by the riverbank.
