קמפיין ריגול נגד ארגונים ישראליים מבוצע ע"י קב' תקיפה בלבנון המתואמת עם איראן
מאת:
מערכת Telecom News, 11.10.22, 13:36
הקמפיין של קבוצת התקיפה POLONIUM התמקד ב-12 ארגונים בארץ העוסקים בהנדסה, טכנולוגיות מידע, משפט, תקשורת, שירותים חברתיים, שיווק ומדיה. חלקו תועד בספטמבר 2022.
חברת אבטחת המידע
ESET מדווחת על דלתות אחוריות מותאמות אישית, שלא תועדו בעבר, ועל כלי ריגול, שנפרסו בישראל ע"י קבוצת התקיפה
POLONIUM. על פי נתוני הטלמטריה של החברה, קבוצת התקיפה התמקדה ביותר מ-12 ארגונים בישראל מאז ספטמבר 2021,
כאשר חלק מהפעולות האחרונות תועדו ממש בחודש שעבר, ספטמבר 2022. תחומי העיסוק של הארגונים בהם התמקדה הקבוצה כוללים הנדסה, טכנולוגיות מידע, משפט, תקשורת, מיתוג ושיווק, מדיה, ביטוח ושירותים חברתיים.
קבוצת התקיפה פולוניום היא קבוצת ריגול סייבר, שתועדה לראשונה ע"י מיקרוסופט בחודש יוני האחרון. לפי מיקרוסופט הקבוצה ממוקמת בלבנון ומתאמת את פעילותה עם גורמים נוספים המזוהים עם משרד המודיעין והביטחון האיראני.
לפי
ESET, קבוצת התקיפה היא שחקן פעיל מאוד עם מגוון עצום של כלים ותוכנות זדוניות, אותם הוא משנה כל הזמן ומפתח חדשים. מאפיין משותף של הכלים בהם הקבוצה עושה שימוש הוא ניצול לרעה של שירותי ענן כמו
Mega ו-
OneDrive לתקשורת שליטה ובקרה (
C&C). דיווחים מודיעיניים על הקבוצה הזו הם מאוד נדירים, ככל הנראה, בגלל שהתקפות הקבוצה ממוקדות מאוד ואופן הפעולה הראשוני אינו ידוע.
בחברה מעריכים, שמירב מאמצי הקבוצה הם לרגל אחר המטרות, ולפי ניתוח הכלים בהם הקבוצה משתמשת נראה, שמעניין אותה בעיקר איסוף נתונים סודיים ולאו דווקא בביצוע תחבולות או מתקפות כופר.
ערכת הכלים של
POLONIUM כוללת לא פחות מ-7 דלתות אחוריות מותאמות אישית:
- CreepyDrive, שעושה שימוש לרעה בשירותי הענן של OneDrive ו-Dropbox עבור C&C,
- CreepySnail, שמבצעת פקודות, שהתקבלו מהתשתית של התוקפים עצמם,
- DeepCreep ו-MegaCreep, שעושות שימוש בשירותי אחסון קבצים של Dropbox ו-Mega,
- FlipCreep, TechnoCreep ו-PapaCreep, שמקבלים פקודות משרתי התוקפים.
הקבוצה גם פיתחה מספר מודולים מותאמים אישית כדי לרגל אחר מטרותיה באמצעות צילום מסך, תיעוד הקשות, ריגול באמצעות מצלמת האינטרנט, קבצים ועוד.
מאתיאס פורולי, החוקר מ-
ESET: "רוב המודולים הזדוניים של הקבוצה הם קטנים, עם פונקציונליות מוגבלת. באחד המקרים, התוקפים השתמשו במודול אחד לצילום צילומי מסך ובאחר להעלאתם לשרת
C&C. בנימה דומה, הם אוהבים לחלק את הקוד בדלת האחורית שלהם, להפיץ פונקציונליות זדונית לקובצי
DLL קטנים שונים, אולי בציפייה שחוקרים לא יצפו בשרשרת ההתקפה השלמה".
טיימליין השימוש בדלתות האחוריות ע"י
POLONIUM: