דוח מחקר מטלטל שפרסמה חטיבת המחקר המודיעיני Unit 42 מבית ענקית הסייבר פאלו אלטו נטוורקס חושף זינוק דרמטי ואיכותי בפעילות מערך הסייבר האיראני. על פי הממצאים, קבוצת האקרים ידועה הפועלת תחת הכינויים Smoke Sandstorm או UNC1549 האיצה באופן חסר תקדים את קצב תקיפותיה ורמת התחכום הטכנולוגי שלה.
התקופה הקריטית שזוהתה על ידי החוקרים משתרעת בין אמצע פברואר לאפריל 2026 – מועד החופף ישירות להסלמה הביטחונית האחרונה שנרשמה באזור המזרח התיכון. כידוע, איראן ושלוחותיה מנסות באופן שיטתי לחדור למערכות מידע רגישות במדינות המערב ובישראל, ונראה כי המאמצים הללו מתעצמים בתקופות של מתיחות גיאופוליטית.
שישה וריאנטים חדשים של נוזקות מתקדמות
החוקרים זיהו שישה וריאנטים חדשים של סוסים טרויאניים לגישה מרחוק (RAT), המופצים במסגרת קמפיינים ממוקדים של הנדסה חברתית. שיטת הפעולה מבוססת על פיתוי עובדים במגזרים רגישים באמצעות התחזות לפלטפורמות גיוס עובדים, שליחת הצעות עבודה מזויפות או הזמנות לוועידות וידאו מקצועיות.
הקורבנות שמורידים את הקבצים הזדוניים חושפים את רשתות הארגון שלהם לשרשראות הדבקה מורכבות של קבצי DLL זדוניים. במסגרת זו נחשפו שתי משפחות נוזקה חדשות בשם MiniUpdate ו-MiniJunk V2, המאפשרות תפיסת אחיזה ממושכת ושליפת מידע רגיש באופן מדורג וחשאי. הנוזקות נשענות על תשתית ענן מתחלפת של חברת Azure, דבר המקשה באופן משמעותי על ניטרולן על ידי מערכות האבטחה המקובלות.
טכניקת תקיפה מתקדמת שמעוורת מערכות אבטחה
עליית המדרגה המשמעותית ביותר המדאיגה את רשויות הסייבר היא אימוץ טכניקת תקיפה מתקדמת המכונה AppDomainManager Hijacking. באמצעות מניפולציה ישירה על קבצי ההגדרות של יישומי .NET בשלב האתחול, התוקפים מסוגלים "להעוור" את כלי האבטחה המותקנים בתחנות הקצה, לנטרל אימות חתימות דיגיטליות ולפעול ללא הפרעה תחת הרדאר של מנהלי הרשת.
למרות המיקוד המסורתי במזרח התיכון, הפעילות הנוכחית חורגת מהאזור ומתמקדת בחברות טכנולוגיה, תקשורת ותעשיות ביטחוניות במערב אירופה ובארצות הברית. בחטיבת המחקר מעריכים בביטחון בינוני עד גבוה כי מדובר במערך ריגול מסונכרן היטב, המתוזמן מול אירועים גיאופוליטיים.
אזהרה לארגונים: ערנות מקסימלית נדרשת
החוקרים ממליצים לארגונים לגלות ערנות מקסימלית אל מול פיתויים מקצועיים ברשת, במיוחד כאלה המגיעים ממקורות לא מוכרים או מפתיעים. כזכור, בחודשים האחרונים נעצרו בישראל מספר אזרחים בחשד לשיתוף פעולה עם גורמים איראניים, לרבות תושב טירה ששלח מיקומים ותמונות של אתרים ביטחוניים.
בנוסף, מתקפת סייבר משבשת נגד מערכת התחבורה הציבורית של לוס אנג'לס יוחסה לאקרים איראניים, כאשר חברת אבטחת הסייבר הישראלית גמביט סקיוריטי סייעה באיתור התוקפים. מקרים אלה ממחישים את ההיקף הגלובלי של פעילות הסייבר האיראנית ואת הצורך בערנות מתמדת מצד ארגונים ורשויות ברחבי העולם.
מומחי אבטחת המידע ממליצים על הטמעת נהלי אבטחה מחמירים, הדרכת עובדים לזיהוי ניסיונות הנדסה חברתית, ועדכון שוטף של מערכות ההגנה הקיימות כנגד האיומים המתפתחים.
0 תגובות