This post is also available in: enEnglish (אנגלית)

סוכנויות ממשלתיות של ארה"ב ובריטניה טענו בשבוע שעבר כי האקרים המזוהים עם ממשלת איראן עומדים מאחורי ריגול סייבר שכוון למגזרי ההגנה, הממשל המקומי, הנפט והגז הטבעי וכן לרשתות התקשורת ברחבי העולם. הסוכנויות סימנו את קבוצת ההאקרים "מאדיווטר" (MuddyWater) כמקושרת ישירות לטהרן. בפעם האחרונה שארה"ב סיפקה אזהרה זהה, היא ציינה שפעילותה של קבוצת ההאקרים נצפתה באפריקה, אסיה, אירופה ובצפון אמריקה כבר משנת 2018.

לפי הודעת הסוכנויות, קבוצת מאדיווטר פועלת הן כדי לספק מידע גנוב לממשלה האיראנית והן כדי לשתף אותו עם קבוצות סייבר זדוניות אחרות. לקבוצת מאדיווטר היסטוריה ארוכה של טענות לריגול, בעיקר אחר מטרות במזרח התיכון, אך גם במישורים אחרים: התראה אחת מצד ארה"ב הגיעה בערב פלישתה של רוסיה לאוקראינה, נושא שככל הנראה מעסיק את הקבוצה.

לפי דובר ה-CISA (הסוכנות האמריקנית שאמונה על אבטחת תשתיות וסייבר), קבוצות במימון איראן מכוונות באופן עקבי לרשתות ממשלתיות ומסחריות באמצעים שונים, כולל ניצול פגיעויות ידועות וניסיונות חוזרים להתקפות פישינג ממוקדות משתמשים (Spear Phishing). לפי cyberscoop.com, למרות שקבוצת ההאקרים האיראניים פעילה לפחות משנת 2017, בשנים האחרונות ניכר כי הקבוצה שילבה כלים ותוכנות לגיטימיים כחלק מדרך הפעולה הקבועה שלהם, תוכנות שחלק מהן מוכרות לשימוש שאינו זדוני.

עם זאת, אחד מהמאפיינים הבולטים של קבוצת מאדיווטר בא לידי ביטוי במודעות שהם מפגינים ובתגובות שלהם להצהרות ציבוריות. דוגמא לכך היא מקרה שבו חוקי אבטחה איתרו טעות הקלדה בתוכנה הזדונית של הקבוצה, טעות שאותה פירסמו בטוויטר. לאחר זמן קצר תוקנה שגיאת ההקלדה בתוכנה – דבר המעיד על ערנותם של התוקפים. כעת נותרת השאלה האם יגיבו להצהרה פומבית זו, ויבנו את הארסנל שלהם מאפס, או שימשיכו ללא הפוגה.