This post is also available in:
English (אנגלית)
ה-FBI פרסם לאחרונה אזהרות סביב האקרים איראניים, המעורבים בסחר בגישה לארגונים בחינוך, פיננסים, בריאות והגנה בישראל, ארה"ב, אזרבייג'ן ואיחוד האמירויות, למטרות רווח כספי.
תחת כינויים שונים כגון Pioneer Kitten, Fox Kitten, UNC757, Parisite, RUBIDIUM או Lemon Sandstorm, תוקפי סייבר איראניים אלה ידועים גם בשם Br0k3r או "xplfinder" בערוצי התקשורת שלהם. בעוד שתפקידם העיקרי הוא לבצע תקיפות איסוף בסייבר (CNE) בחסות המשטר האיראני נגד אויבי איראן, כמו ישראל, הפעילות שלהם כוללת גם מכירת גישה בלתי מורשית לחברות ברחבי העולם.
מסמך אבטחת סייבר שפורסם לאחרונה על ידי ה-FBI, CISA ו-DC3, חושף כי גורמים איראניים אלה משתפים פעולה עם כנופיות כופר ומסייעים בפריצה לחברות שונות בתמורה לחלק מתשלומי הכופר. המסמך מדגיש את מעורבותם בקבוצות כופר כמו NoEscape, Randomhouse, ו-ALPHV (הידוע גם בשם BlackCat). מעבר למכירת גישה ראשונית, האקרים אלה מסייעים באופן פעיל לגורמים המבצעים את הכופר בכך שמספקים הוראות טקטיקות שונות, כגון נעילת רשתות מחשבים ותכנון אסטרטגיות לסחיטה. ה-FBI גם מציין כי שחקנים אלה עשויים בכוונה לטשטש את מיקומם ואת אזרחותם האיראנית בעת אינטראקציה עם פעילי כופר.
הטקטיקות בהן משתמשים ההאקרים הינן פיתוח של אלו ששימשו במבצע Pay2Key,קמפיין סייבר משמעותי נגד חברות ישראליות ב-2020. פעולה זו, שנועדה ככל הנראה לערער את יציבות תשתית הסייבר הישראלית, כללה הפעלת אתר הדלפות בדארק ווב ופרסום נתונים גנובים כדי לערער את הביטחון.
נכון לאוגוסט 2024, ה-FBI מזהיר כי גורמי האיום האיראניים מכוונים למגוון של ישויות זרות, כולל בתי ספר, ממשלות עירוניות, מוסדות פיננסיים ומתקני בריאות. פעילותם תואמת את האינטרסים של המדינה האיראנית, ולעתים קרובות מכוונת למדינות כמו ישראל, אזרבייג'ן ואיחוד האמירויות. ה-FBI מעריך כי פעולות כופר אלה ככל הנראה אינן מאושרות ישירות על ידי ממשלת איראן, שכן השחקנים הביעו חששות לגבי ניטור ממשלתי של עסקאות קריפטו הקשורות לפעילותם.
תוקפי סייבר איראניים בדרך כלל פועלים על ידי ניצול נקודות תורפה בשירותים חיצוניים מרוחקים. הטקטיקות האחרונות כוללות סריקת חולשות בכתובות IP, כגון CVE-2024-24919 המשפיעות על שערי האבטחה של צ'ק פוינט. בעבר, הם התמקדו במכשירים עם חולשות ב-Pan-OS של פאלו אלטו וב- VPNשל GlobalProtect.
כדי לחדור למערכות, הם משתמשים בכלים גלויים כמו מנוע החיפוש Shodan כדי לזהות חולשות ולגנוב נתוני התחברות באמצעות web shell. ברגע שהם בפנים, הם מתבססים על ידי יצירת חשבונות, בקשת פטור ממדיניות אבטחה, פריסת דלתות אחוריות והתקנת נוזקות.
לצורך שליטה ובקרה, שחקנים אלה משתמשים בכלים כגון AnyDesk, PowerShell Web Access, Ligolo ו- NGROK. ה-FBI וה-CISA זיהו מספר רב של כתובות IP וארנקי ביטקוין הקשורים לפעילות שלהם. הם ממליצים לארגונים ליישם מספר פעולות הגנה, כולל ניטור של כתובות IP חשודות, החלת פאצ'ים ובדיקת מזהים ייחודיים הקשורים לשחקני סייבר אלה.
הרשויות מייעצות לא לשלם כופר, שכן הוא אינו מבטיח שחזור קבצים ומעודד פעולות זדוניות נוספות.
