בשבועות האחרונים, הרשות הלאומית להגנת הסייבר זיהתה קמפיין פישינג רחב היקף המכוון לארגונים, תוך שימוש בשיטה שנראית אמינה ביותר לנמענים. ניסיונות התקיפה השיטתיים מיוחסים לקבוצת התקיפה המקושרת לאיראן, MuddyWater. דוח מיוחד על הקמפיין פורסם היום ויוצג במהלך שבוע הסייבר (CyberWeek) באוניברסיטת תל אביב.
כחלק מההתקפות, גורמי איום פורצים לחשבונות דוא"ל ארגוניים לגיטימיים ומשתמשים בהם להפצת מיילים של פישינג שנראים אותנטיים – עם עברית תקינה, תוכן מותאם לתחום הפעילות של הארגון, וקבצים מצורפים עם שמות קבצים רלוונטיים. המיילים כוללים מסמך Word זדוני, וברגע שהמשתמש לוחץ על "אפשר תוכן", הכלי הזדוני משתלט על תחנת העבודה. ההודעות מותאמות לסביבת הארגון, כולל שימוש בלוגואים, חתימות ומסמכים הנראים רשמיים.
עם פתיחת הקובץ, מותקן על נקודת הקצה כלי תקיפה ייעודי המכונה BlackBeard. נוזקה חדשה יחסית זו מאפשרת לתוקף להשיג שליטה מלאה על המערכת, למפות את הסביבה, לעקוף מוצרי אבטחה, ולהוריד רכיבי תקיפה נוספים לפי הצורך. מרגע ההדבקה, חשבון הדוא"ל של המשתמש שנפרץ מנוצל להפצת התקיפה פנימה והחוצה מהארגון, ומגיע לאלפי נמענים. הנוזקה משתמשת בטכניקות התמדה חמקניות המאפשרות לה להישאר פעילה מבלי להופיע במיקומים המנוטרים בדרך כלל על ידי כלי אבטחה. דפוס פעולה זה תואם באופן הדוק לטקטיקות הידועות של MuddyWater ונצפה בהתקפות קודמות בישראל.
MuddyWater, הפועלת תחת משרד המודיעין האיראני, מתמקדת באיסוף מודיעין וביסוס דריסת רגל ארוכת טווח ברשתות היעד. בשנים האחרונות, הקבוצה מנסה באופן עקבי לתקוף גופים ישראליים, כולל ממשלה, בריאות, חינוך ועסקים קטנים ובינוניים. הקבוצה משלבת כלים שפותחו על ידה עם תשתיות שליטה ובקרה מבוזרות. ניסיונות התקיפה שלה זוהו גם במדינות אחרות, כולל טורקיה, אפגניסטן, פקיסטן, איחוד האמירויות, עיראק, בריטניה, אזרבייג'ן, ארצות הברית, מצרים וניגריה.
הרשות הלאומית להגנת הסייבר קוראת לארגונים ברחבי ישראל לגלות ערנות מוגברת, ליישם בקפדנות מספר אמצעי הגנה קריטיים, ולסקור את אינדיקטורי הפשרה (IOCs) שפורסמו ואת פעולות המיתון המומלצות.
לדברי חוקרי הסייבר של הרשות הלאומית להגנת הסייבר, מחברי הדוח: "ההתקפות האחרונות מדגימות שוב ניסיונות מתמידים של גורמים איראניים לחדור לרשתות ישראליות ולבסס נוכחות ארוכת טווח בתוכן. ההתחזות, השפה המדויקת והקבצים הנראים לגיטימיים נועדו כולם לעקוף את האינסטינקט האנושי ולפתות משתמשים לפתוח את הקובץ הזדוני. חדירה מוצלחת אחת מסוג זה יכולה להסלים במהירות להתקפה נרחבת על ארגונים שלמים. זו הסיבה שהרשות הלאומית להגנת הסייבר ממשיכה להפיץ עדכונים, אזהרות והדרכה מעשית לארגונים על מנת להפחית סיכונים ולחזק את החוסן הלאומי בסייבר."
לחץ כאן לדוח המלא