מנקודת המבט של האקר איראני: איך האקרים איראנים מנסים לפגוע בארגונים ישראלים

בזמן מלחמה, האינטרנט הופך לחזית נוספת.
ישנה תפיסה שהאקרים מחפשים את הארגונים הגדולים ביותר, אבל האמת היא שהם מחפשים את הארגונים הכי פחות מוכנים. לא את אלה עם הטכנולוגיה הכי מתקדמת, אלא את אלה עם הטעות הקטנה ביותר. כי בעולם הסייבר, לפעמים טעות אחת מספיקה.

בימים אלו ניכר כי מתבצעים ניסיונות רבים לשיבוש מהלכים תקינים של ארגונים ישראלים במשק, כמו אתר האקדמיה ללשון העברית ורכבת ישראל לדוגמא. למה זה קורה? כי ההאקרים האיראניים פועלים מתוך תפיסה אידיאולוגית מדינתית בה הם משתמשים בסייבר לשליחת מסר פוליטי, נקמה ויצירת הרתעה.

איראן מבצעת שילוב בין סייבר והשפעה פסיכולוגית, מתקפה אחת יכולה לשלב כמה מטרות כמו גניבת מידע, הצפנת מערכות, פרסום מידע ברשתות החברתיות והפצת מסרים פוליטיים שמטרתן השפעה על דעת הקהל ויצירת לחץ ציבורי.
היא משתמשת הרבה בקבוצות ה"אקטיביסטים", המציגים את עצמן כעצמאיות אך בפועל פועלות עבור המדינה וכך בעצם איראן יכולה לבצע תקיפות "לכאורה" ולהסיר אחריות.
לעיתים קרובות ההאקרים האיראנים אינם בוחרים יעד מראש אלא סורקים את האינטרנט כדי למצוא מערכות פגיעות, חודרים אליהן ושומרים גישה לשימוש עתידי.

כיצד האקר האירני בוחר את נקודות הפריצה שלו? אילו שיקולים עומדים לנגד עיניו? ומהם דרכי הפעולה שלו?

שלב ראשון – OSINT:
לפני כל ניסיון פריצה, מנסים קודם להבין את הארגון, אילו מערכות נמצאות בשימוש ואילו שירותי ענן מחוברים לארגון, מי העובדים, מי מנהל את הIT.
הרבה מהמידע הזה ניתן למצוא במקומות פתוחים לחלוטין: באתר החברה, בפרופיליLinkedIn  של עובדים, בפרסומים מקצועיים ואפילו במודעות דרושים.
זה נקרא-OSINT  מודיעין ממקורות פתוחים, ולפעמים זה כל מה שצריך כדי להתחיל.

שלב שני – פישינג ממוקד:
במרבית המקרים יעד הפריצה בשונה מהמצופה מכוון דווקא לאדם ולא לשרת. אחת השיטות הנפוצות לעשות את זה היא ע"י פישינג ממוקד, הודעה שנראית לגיטימית לגמרי כמו עדכון ממחלקת IT, מסמך עבודה שנראה חשוב או בקשה לאימות פרטי משתמש יכול לטמון בתוכו סכנה ממשית לארגון.
המטרה פשוטה, לגרום למשתמש להזין את פרטי הגישה שלו.
כשזה מצליח, ההאקר מקבל את המפתח הראשוני למערכת, אבל אז העבודה מכיוונו רק מתחילה.

שלב שלישי – Lateral Movement:
אחרי הכניסה הראשונית, זה הזמן של האקר לנסות להבין עד כמה רחוק אפשר להגיע בתוך הארגון ע"י מעבר ממערכת אחת לאחרת, תהליך המכונה Lateral Movement. כאשר משתמשים מחזיקים הרשאות רחבות מדי או כאשר אין הפרדה מספקת בין מערכות, גישה אחת יכולה להוביל במהירות למערכות נוספות. זו אחת הסיבות לכך שניהול הרשאות נכון הוא מרכיב קריטי באבטחת מידע.

אחד המאפיינים שמייחדים את דרך הפעולה של ההאקר האיראני הוא סבלנות והתמדה.
בניגוד למתקפות מהירות, חלק מהקבוצות פועלות לאורך זמן ומנסות להישאר בתוך הרשת הארגונית מבלי להתגלות. הן אוספות מידע בהדרגה, בודקות אילו מערכות קיימות ומנסות להבין כיצד הארגון פועל מבפנים.

דוגמה מוכרת לכך היא קבוצת התקיפה MuddyWater, שנחשבת לאחת מקבוצות הסייבר הפעילות המזוהות עם איראן. הקבוצה הזו ידועה בכך שהיא מתמקדת בעיקר בארגונים ממשלתיים, פיננסיים וטכנולוגיים במזרח התיכון. במקום כלים מתוחכמים, היא לעיתים קרובות מנצלת חולשות בסיסיות: הרשאות משתמש רחבות מדי, מודעות נמוכה לפישינג או מערכות שלא מנוטרות בצורה מספקת.
היכולת שלה לשלב בין מודיעין מקדים והתמדה בתוך הרשת הארגונית היא אחת הסיבות לכך שהיא מצליחה לחדור גם לארגונים עם מערכות הגנה מתקדמות.

דוגמאות מרכזיות לתקיפות סייבר של איראן:

• ניסיון תקיפת מערכת המים בישראל ב2020, בה האקרים איראניים ניסו לחדור למערכות הבקרה של מתקני. המים, במטרה לשנות את רמות הכלור במים. המתקפה זוהתה ונבלמה לפני שנגרם נזק, אך כאן ראינו שאיראן שינתה את מטרת התיקפה שלה ממטרות ריגול למתקפות על תשתיות קריטיות.

• פריצות וריגול לחברות ישראליות על ידי קבוצת Fox Kitten, אשר הצליחו במשך כשנתיים לחדור לרשתות של חברות רבות בישראל. החדירה אפשרה גישה לרשתות פנימיות של ארגונים ואיסוף מידע רגיש למטרות ריגול וסחיטה.

אבל לא תמיד המטרה היא לגנוב מידע! במיוחד בתקופות מתוחות, מתקפות סייבר משמשות גם ככלי השפעה להעברת מסרים ותצוגה של יכולות.
לפעמים מספיק להשבית שירות אחד לכמה שעות, ליצור בלבול ולגרום לארגון להיראות פגיע או להציג תצורת מסרים פוליטים שיכולים להפגין יכולות ולשזור חשש ציבורי גדול.

כיצד ניתן להגן על הארגון? 5 המלצות:

• הטמעת אימות רב־שלבי (MFA)
  שימוש באימות רב שלבי מוסיף שכבת הגנה מעבר לסיסמה בלבד ומקטין משמעותית את הסיכון לפריצה גם במקרה שבו הסיסמה נחשפה.
• ניהול הרשאות לפי עקרון הצורך (Least Privilege)
  הגבלת גישה למידע ולמערכות רק למי שבאמת זקוק לכך לתפקידו מצמצמת את הנזק האפשרי במקרה של פריצה לחשבון.
• העלאת מודעות לפישינג
  הדרכות שוטפות בנושא מסייעות לעובדים לזהות הודעות חשודות, קישורים מסוכנים וניסיונות התחזות לפני שהם הופכים לאירוע אבטחה.
• ניטור וזיהוי פעילות חריגה
  מערכות ניטור מאפשרות לזהות התנהגות חריגה במערכות הארגון ולפעול במהירות לפני שהתוקפים מצליחים להתבסס בתוך הרשת.
• הגנה על גישה מרחוק
  יישום בקרות אבטחה לגישה מרחוק כמו אימות חזק, ניהול זהויות וגישה מאובטחת, מאפשר עבודה גמישה מבלי לפגוע ברמת ההגנה מפני תוקפים.

חיזוק התחומים הללו יכול לצמצם משמעותית את הסיכון לחדירה.

במיוחד בתקופות מתוחות, כאשר ארגונים עובדים תחת לחץ, חשוב במיוחד לחזק את מערכות ההגנה ולהגביר מודעות בקרב עובדים.
כי בעולם שבו הסייבר הוא חלק מהחזית, הגנה נכונה מתחילה בהבנה איך התוקף חושב.

כותב המאמר: Shimi Cohen, CISO, UBTECH