טכנולוגיה
הרע מכל עוד לפנינו? ישראל חזק על הכוונת של האיראנים
חברת אבטחת המידע ESET מפרסמת את דוח פעילות קבוצות התקיפה (APT) החדש שמתאר את פעולותיהן של קבוצות APT נבחרות שתועדו ע"י חוקרי ESET מאוקטובר 2024 ועד מרץ 2025.
בישראל, נמשכת המגמה של תקיפות APT מצד קבוצות איראניות. חוקרי ESET זיהו קמפיין משולב ומתואם שבוצע בינואר-פברואר 2025 על ידי MuddyWater ו-Lyceum – שתיים מהקבוצות המרכזיות המזוהות עם איראן. במסגרת הקמפיין, הותקפה חברה ישראלית בתחום הייצור, תוך שימוש בכלי שליטה מרחוק לגיטימיים וגניבת סיסמאות באמצעות Mimikatz – כלי מתקדם לשליפת סיסמאות מהזיכרון של מערכות Windows. בעקבות החדירה, השתלטה Lyceum על המשך הפעילות הזדונית בארגון. בנוסף, זוהו בישראל שני מקרי תקיפה נפרדים בהם נעשה שימוש בתעלות תקשורת מוסוות (reverse tunnels) שפותחו על ידי Lyceum.
במקביל, קבוצת CyberToufan ביצעה מתקפת נגד כ-50 ארגונים בישראל, במסגרתי השיגה גישה למשאבי הארגון, החליפה את שומרי המסך במחשבים ואפילו הדפיסה חומרי תעמולה במדפסות המחוברות. הנתונים הללו ממחישים את רמת התחכום והכוונה הפוליטית של חלק מהקבוצות הפועלות נגד ישראל.
קבוצת Gamaredon שומרת על מקומה כגורם האיום ההרסני ביותר מול אוקראינה. היא שיפרה את יכולות ההסתרה של הנוזקות שלה והשיקה את Pterobox, נוזקה לגניבת קבצים שמתבססת על Dropbox. "קבוצת Sandworm הידועה לשמצה התמקדה בעיקר בפריצה של תשתיות חשמל אוקראיניות. במקרים האחרונים, היא הפעילה את נוזקת המחיקה ZEROLOT באוקראינה. התוקפים ניצלו כלל מדיניות קבוצתי ב-Active Directory בארגונים שהותקפו", אומר ז'אן-יאן בוטין, מנהל תחום מחקר האיומים ב-ESET.
קבוצת Sednit שיפרה את היכולות לניצול חולשות Cross-Side Scripting בשירותי דוא"ל מקוונים, והרחיבה את מבצע RoundPress, שבתחילה היה מסוגל לתקוף רק את מערכת Roundcube, אך כיום יכול לתקוף גם את המערכות Horde, MDaemon ו-Zimbra. חברת ESET חשפה כי הקבוצה הצליחה לנצל חולשת יום-אפס בשרת הדוא"ל של MDaemon (CVE-2024-11182) ולהשתמש בה כדי לתקוף חברות אוקראיניות.
מספר מתקפות של קבוצת Sednit שכוונו נגד חברות ביטחוניות בבולגריה ובאוקראינה השתמשו בקמפייני פישינג ממוקדים (Spearphishing) כפיתיון. קבוצה אחרת המזוהה עם רוסיה, RomCom, הציגה יכולות מתקדמות למדי באמצעות הפעלת כלי פריצה המנצלים חולשות יום-אפס ב-Mozilla Firefox (CVE-2024-9680) וב-Microsoft Windows (CVE-2024-49039).