מערך הדיגיטל הלאומי חשף לאחרונה מחקר חדש על קמפיין ריגול איראני מתוחכם וחסר תקדים המכונה "SpearSpecter". באופן לא מפתיע הקמפיין מיוחס לקבוצת תקיפה איראנית המזוהה עם ארגון המודיעין של משמרות המהפכה (IRGC-IO). הקבוצה, הפועלת תחת שמות שונים כגון APT42 ו-CharmingCypress, הציגה שינוי מגמה משמעותי: מעבר מתקיפות נרחבות וגורפות - לריגול אישי מבוסס הנדסה חברתית מתוחכמת.
ניסיון להשיג אחיזה בבכירים ישראלים
בשיחה עם חוקר הסייבר שימי כהן, וראש יחידת הסייבר בממשלה במערך הדיגיטל הלאומי, ניר בר יוסף, נחשפים פרטי הקמפיין, הממוקד באופן שיטתי בבכירים בעלי ערך גבוה במגזר הביטחוני ובממשלה, וכן בבני משפחותיהם.
לדבריו של בר יוסף, משמעותו של הקמפיין שנחשף היא ש"תקיפות סייבר הופכות אישיות יותר ודורשות הרבה יותר משאבים. המטרה היא לא רק לגנוב סיסמאות, אלא ממש להשיג אחיזה רציפה וארוכת טווח בעמדות ממוקדות".
התוקפים נוקטים בטקטיקות ארוכות טווח של בניית קשרים הנראים אותנטיים, ומשקיעים ימים ואף שבועות בפיתוח יחסים עם המטרה. הפיתיון כולל הזמנה ל"כנסים יוקרתיים" או קביעת "פגישות משמעותיות" עם המטרות.
התוקפים נוקטים בטקטיקות ארוכות טווח של בניית קשרים הנראים אותנטיים, ומשקיעים ימים ואף שבועות בפיתוח יחסים עם המטרה שלהם
אחד האמצעים העיקריים של הקבוצה היא כמובן אפליקציית וואטסאפ. השימוש בה הוא טקטיקה ידועה של הנדסה חברתית, המשדרת לגיטימיות ותחושת היכרות בין שני הצדדים. כהן מסביר כי "הקמפיין מתחיל בשלב מקדים של איסוף מודיעין על הקורבן. לאחר מכן, התוקפים מתחזים לגורם לגיטימי ופונים אל הקורבן באופן יזום, לרוב דרך הוואטסאפ".
קודם בניית אמון - ואז תקיפה
לאחר שלב בניית האמון, נשלח לינק זדוני המפעיל שרשרת תקיפה מתוחכמת. עבור גורמים בעלי עניין נמוך יותר, התוקפים מפעילים דפי פגישה מזויפים מתוכננים מראש, הלוכדים את פרטי הגישה בזמן אמת.
עבור מטרות בעלות ערך גבוה, היעד הוא החדרת דלת אחורית (Backdoor) מתוחכמת בשם TAMECAT (כפי שגוגל כינתה זאת). הנוזקה מבוססת על PowerShell (אפליקציה של מיקרוסופט שמספקת סביבת עבודה למתכנתים בווינדוס ולינוקס, ר"ק), מה שמקשה על זיהויה בקרב כלי אבטחה מסורתיים.
2 צפייה בגלריה
המנהיג העליון עלי חמינאי. איראן לא בוחלת באמצעים להשיג אחיזה בישראל
(צילום: KHAMENEI.IR / AFP, West Asia News Agency)/Handout via REUTERS)
התוקפים משתמשים בניצול יצירתי של תכונות מובנות בווינדוס ובתשתית WebDAV (המנגנון שמאפשר למשל לערוך מסמך בענן דרך הדפדפן במיקומים שונים) לצורך הצבת קוד זדוני (Payload Staging). כדי להתחמק מזיהוי, הקבוצה משתמשת בתשתית שליטה ובקרה (C2) רב-ערוצית המנצלת שירותים לגיטימיים כגון טלגרם ו-Discord. התעבורה הרגישה מתבצעת דרך האפליקציות האלה, מה שגורם לה להיראות כמו שימוש רגיל.
לדבריו של כהן, "החידוש הוא הסתרת התעבורה - התוקפים משתמשים בפלטפורמות לגיטימיות כמו טלגרם ודיסקורד כתשתיות שרת שליטה (C2). שיטה זו מקשה מאוד על מערכות אבטחה מסורתיות לזהות את תנועת הנתונים היוצאת". בר יוסף מוסיף: "מול השיטה הזו, הכלל החשוב ביותר הוא אימות, אימות ושוב אימות".
המלצות מערך הדיגיטל
- אימות כפול - אם קיבלתם פנייה בוואטסאפ או במייל המבקשת לחיצה על לינק, יש לוודא טלפונית כי השולח אכן אחראי להודעה באמצעות מספר טלפון רשמי וידוע.
- הפעלה של אימות רב-שלבי (MFA) בכל החשבונות הרגישים.
- צמצום חשיפה - צמצום חשיפה של מידע רגיש, כגון עבר צבאי ותפקידים רשמיים קודמים, בפרופילים ציבוריים. מידע זה משמש את התוקפים לא רק לבניית תרחישי התחזות, אלא אף לריגול ומעקב (כפי שראינו באירועים קודמים כמו בפרשת המעקב ההמוני אחר חיילים ברשתות על ידי חמאס).
