קבוצת הסייבר Roc ket Kitten האיראנית ממשיכה לתקוף יעדים בישראל ובמזרח התיכון
מאת:
מערכת Telecom News, 2.9.15, 18:31
על פי הדו"ח של טרנד מיקרו ו-ClearSky הישראלית, מאז תחילת השנה הותקפו ע"י הקבוצה לא רק חברות וארגונים אלא מאות יעדים ביניהם חוקרי אקדמיה, עיתונאים, עובדים בחברות אבטחה ועוד המחזיקים במידע בעל ערך.
קבוצת האקרים, שעל פי ההערכה של החוקרים, עובדת עבור המשטר האיראני, ממשיכה לתקוף מאות יעדים ויחידים בישראל ובמזה"ת ואף מרחיבה את פעילותה. כך עולה מדו"ח חדש המשותף למעבדות המחקר
TrendLabs של חברת אבטחת המידע טרנד מיקרו וחברת
ClearSky מישראל.
על פי הדו"ח, הפרסומים בתקשורת על פעילות הקבוצה, שנקראת
Rocket Kitten, שפעילותינ נחשפו בשנה וחצי האחרונות ע"י טרנד מיקרו,
ClearSky וחברות נוספות, לא רק שהביאו להקטנת היקף הפעילות של חבריה אלא להיפך. הקבוצה הרחיבה את יעדיה וכעת על הכוונת נמצאים לא רק חברות וארגונים, אלא גם יחידים דוגמת עיתונאים, אנשי תקשורת, חוקרים ואנשי אקדמיה בעלי עניין אסטרטגי בתחומי דיפלומטיה, מדיניות חוץ ובטחון.
החוקרים מציינים, שלא מדובר בפושעי סייבר בעלי עניין עסקי או כספי אלא בביצוע תקיפות סייבר, שנושאות אופי מובהק של ריגול או אינטרסים פוליטיים מסוימים, שניתן לשער את המוטיבציה של חבריה. זאת, משום שאין ראיות עובדתיות לגבי המניעים שלהם.
הקבוצה פועלת מאז אמצע שנת 2014. אולם, ביוני השנה, זיהו חוקרי
ClearSky מהלכים חדשים ותנועות כנגד 550 יעדים במזה"ת ובכל העולם. חברי
Rocket Kitten התחקו אחר קורבנות ספציפיים המחזיקים במידע בעל ערך או שהם מהווים אמצעי מעבר ליעד האמיתי תוך שימוש בריגול או באמצעי
Social Engineering והתאמה להרגלי הגולש על מנת לפתות אותם לפתוח קבצים או להגיע לאתרי פשינג ובצורה כזו להשתיל נוזקות במחשב הקורבן.
החוקרים מציינים, שנעשה שימוש בזהויות מזויפות, שימוש הקורבן בדואר אלקטרוני בענן דוגמת
Gmail או אחסון ב-
Google Drive, דואר פישינג, שיחות טלפוניות ואפילו יצירת קשר באמצעות המדיה החברתית דוגמת פייסבוק.
בדו"ח מצוין, שדפוסי התקיפה הם פשוטים יחסית וכוללים לעיתים שליחת דואר אלקטרוני עם שגיאות כתיב או טעויות העלולות להעלות חשד כי מדובר בגורם מזויף או עוין. יחד עם זאת מציינים החוקרים, שהשיפור באיכות ההתחזות ,העקביות וההתמדה של קבוצת הסייבר הבטיחו להם הצלחה בתקיפה ובצורה כזו הם הצליחו להשיג את מטרותיהם.
החוקרים מעריכים, שהקבוצה תמשיך בפעילותה וכותבים: "מדובר בגורמים בעלי משאבים ויכולת לבצע פעילות בעקביות ולאורך זמן. רמת התכנון המדוקדקת והיצירתיות, שמגלה הקבוצה, מאפשרות להם להגיע לקורבן ולהגיע למידע ולמערכות אותן הם מבקשים לתקוף.
תמיר סגל, מנכ"ל טרנד מיקרו ישראל: "השילוב בין הכלים האנליטיים והניתוח של
ClearSky-
TrendLabs הוא שאפשר לזהות ולנטר פעילות עוינת של קבוצת סייבר זו. אופי הפעילות של הקבוצה מהווה המחשה נוספת לצורך לגבש היערכות ולנקוט אמצעים חדשים, בעלי דפוסי פעולה שונים המסוגלים לנטר ניסיונות מעקב ואיסוף מידע".
בועז דולב, מנכ"ל חברת
ClearSky: "על מנת להתמודד ברמה האישית מול תקיפות גניבת זהות ומידע כמו אלו שנחשפו בדו"ח הזה, חייב כל אחד מאיתנו להגן טוב יותר על חשבונות הדואר האלקטרוני האישי שלו, כולל הקשחת מנגנון ההזדהות לחשבון, גיבויו והפעלת אמצעי אימות הזדהות עם שני פקטורים (
2FA). יש צורך לשמור על ערנות רבה, כולל אימות זהות השולח בערוץ נוסף (למשל ווטסאפ) במקרה וקיים בכך ספק.
קיים קושי רב ביכולת שלנו לזהות בוודאות את הגורם האמיתי היוצר איתנו קשר באינטרנט, בין אם בדואר אלקטרוני, בפייסבוק או בווטסאפ. המרחק בין השתלטות של תוקף על תיבת הדואר האלקטרוני האישית שלנו, להשתלטות על מידע ארגוני רגיש, הוא קטן, ומחייב חברות לשקול הקמת מערך הגנה גם על סביבת המחשוב האישי הביתי של כל אחד מהעובדים, בייחוד בארגונים בהם מוטמעים או מותרים פתרונות
"BYOD.
הדו"ח המלא -
כאן.