Skip to content

נחשף מבצע ריגול איראני בסייבר המכונה ניוזקאסטר

ההתקפה האיראנית, המכונה Newscaster, נחשפה בארה"ב כמערכת ריגול סייבר ארוכת-טווח שבמהלכה נעשה שימוש בטכניקות של הנדסה חברתית ודיג מכוון (דיוג) כדי לשאוב מידע מגורמי מפתח בארה"ב, ישראל, בריטניה ומדינות אחרות. התוקפים הצליחו לייצר רשת הכוללת יותר מ-2,000 בני אדם. פורסם בגיליון מבט 561 של המכון למחקרי ביטחון לאומי
פחות מדקהזמן קריאה: דקות
תקשורת סייבר
תקשורת סייבר

כל העוקב אחרי התפתחות יכולות הפעולה של איראן במרחב הסייבר, לא מופתע לראות כיצד זו הופכת לאט למעצמה בתחום זה. במהלך הימים האחרונים נחשפה בארה"ב מערכת ריגול סייבר איראני ארוכת-טווח, שזכתה לכינוי Newscaster (קריין חדשות), שבמהלכה נעשה שימוש בטכניקות של הנדסה חברתית ודייג מכוון – דיוג (phishing & social engineering) כדי לשאוב מידע מגורמי מפתח בארצות הברית, ישראל, בריטניה ומדינות אחרות.

על-פי המידע שנחשף, התוקפים הצליחו לייצר רשת הכוללת יותר מ-2,000 בני אדם, בהם מאות "יעדי איכות". במידע שנחשף לא צויין סוג המידע שנגנב ואילו אישים ומוסדות נפלו ברשת. תקיפה זו מהווה חוליה נוספת בקמפיין לוחמת הסייבר שמנהלת איראן כנגד יריבותיה במערב ובמזרח התיכון.

החשיפה הנוכחית מצטרפת לרשימה ארוכה של פעולות איראניות במרחב הסייבר. אף אם הפרטים שנחשפו אינם מצביעים על שימוש איראני בכלים טכנולוגיים מתקדמים, הרי שהם חושפים את היכולת המבצעית המתפתחת של איראן להוציא לפועל מבצעים מורכבים במרחב הסייבר תוך איסוף מודיעיני והפעלת תשתית מבצעית מורכבת ורחבת היקף.

מתקפת Newscaster

המתקפה, שזכתה לכינוי Newscaster החלה ככל הנראה כבר ב-2011. בהנחה שמועד זה מדויק הרי שהמתקפה החלה סמוך לחשיפת מתקפת סטקסנט, שפעלה לפגוע בסרקזות באיראן. התוקפים אספו מודיעין ובנו פרופילים אנושיים באמצעות שימוש ברשתות חברתיות. זאת כדי ליצור מארג מורכב ומתואם של זהויות וירטואליות בעלות קשרים פיקטיביים לגורמי תקשורת, אנשי צבא וממשל אמריקניים, דיפלומטים וחברי קונגרס, קבלני בטחון ועוד. הפרופילים החברתיים של זהויות פיקטיביות אלו, נוצרו על גבי רשתות חברתיות דוגמת: Facebook, Linkedin, Twitter ו-Google ונבנו באופן מעמיק ומפורט תוך מתן תשומת לב ליצירת כיסוי "היסטורי" אמין ומשכנע לדמויות.

התוקפים אף הקימו מערך וירטואלי התומך את סיפורי הרקע של הזהויות וכולל אתר חדשות פיקטיבי תחת השם newsonair.org, אשר בו עובדים לכאורה שש מהזהויות. השימוש בזהויות פיקטיביות אינו חדש בעולם הריגול והסייבר. אולם, היכולת לייצר מערך זהויות בדויות, הנתמך על ידי מערך תחזוקה וניהול זהויות הפועל לתחזק את הזהות בצורה שתשכנע את הקורבנות לאורך זמן שהזהות הנה זהות חיה ואמתית, מראה על שאיראן שידרגה את יכולות הפעולה המבצעית שלה במרחב הסייבר.

יצרו קשר עם מקורבים לממשל

לאחר שנוצרו, החלו האיראנים לנהל את הזהויות וליצור קשר עם אישים, אשר נתפסו בעיני התוקפים כמקורבים לממשל וכמקורות פוטנציאלים למידע בעל ערך. בין המטרות היו בכירי ממשל בהווה ובעבר, עיתונאים, עובדי מכוני מחקר ואנשי תעשיות ביטחוניות. יצירת הקשר ובניית האמון עם המטרות נעשתה באופן סבלני ומתוחכם תוך שימוש במעגלים החברתיים של הקורבנות וניצול יעיל של הפלטפורמות השונות שמציעות הרשתות החברתיות. המטרה הייתה לייצר אמון שיספיק כדי לאפשר משלוח דואר אלקטרוני הכולל קוד זדוני. ואכן, כאשר הצליחו התוקפים לבסס מידה מספקת של אמון בין הקורבן לבין הזהויות הווירטואליות הם הוציאו אל הפועל את המתקפה ושלחו הודעות דואר אלקטרוני הכוללות קוד שהתקין עצמו על מחשב הקורבן או על קישורים לדפי מידע הדורשים הזנת פרטים אישיים ומעבירים אותם לתוקפים.

2,000 בני אדם

על-פי המידע שנחשף, התוקפים הצליחו ליצר רשת הכוללת יותר מ-2,000 בני אדם, בהם מאות "יעדי איכות". במידע שנחשף לא צוין סוג המידע שנגנב ואלו אישים ומוסדות נפלו ברשת, אך מהזהות הכללית של היעדים ניתן ללמוד כי התוקפים חיפשו אחר מידע רגיש הנוגע לטכנולוגיות ביטחוניות ולפעילות הצבאית והדיפלומטית של ארצות הברית, בריטניה, ישראל וערב הסעודית. החיפוש אחר מידע מסוג זה, מעיד על אופייה הפוליטי-מדיני של המתקפה וכי ככל הנראה אין מדובר בפשיעת סייבר או בריגול תעשייתי שגרתי.

האתר נרשם באיראן

שיוך המתקפה הזו לאיראן נשען על כמה ראיות: אתר החדשות המזויף newsonair.com נרשם בטהראן, שרתי השליטה באמצעותם הפעילו התוקפים את הקוד הזדוני מתארחים על שרתים בתוך איראן, בשורות הקוד של התוכנות התגלו מילים איראניות והזמנים בהם פעלו התוקפים תואמים את שעות העבודה במדינה. עם זאת, לא ברור האם המתקפה בוצעה באופן ישיר על גורמי ממשל איראניים, על ידי קבוצה הקשורה לשלטון או על ידי האקרים פרטיים התומכים בממשל או המופעלים על ידי הממשל.

תקיפה זו מהווה חוליה נוספת בקמפיין לוחמת הסייבר שמנהלת איראן כנגד יריבותיה במערב ובמזרח התיכון. היא מצטרפת למתקפות איכותיות נוספות אשר יוחסו לגורמים איראניים במהלך השנים האחרונות ביניהן מתקפת DDoS רחבת היקף על אתרי האינטרנט של בנקים ומוסדות פיננסיים מרכזיים בארה"ב וגל תקיפות כנגד מערכי בקרה של חברות תשתית ואנרגיה אמריקאיות. עם זאת, במתקפה הנוכחית יש בכדי ללמדנו על רוחב היריעה והגיוון הרב שבפעילות הסייבר האיראנית. בעוד שמתקפות קודמות התמקדו בגרימת נזק והתאפיינו בפרופיל גבוה הרי שהמתקפה הנוכחית כוונה להשגת נגישות ביעדי איכות והתנהלה בחשאיות ולאורך זמן.

מתקפת דיוג

השימוש במרחב סייבר למטרות איסוף מידע ומעקב אינו זר לאיראן, אשר עושה שימוש רב בטכניקות של דיוג והנדסה חברתית לשם ניטור פעולותיהם ודעותיהם של אזרחים איראניים ואיתור מתנגדי שלטון ופעילי אופוזיציה. ביוני 2013, מועד הבחירות לנשיאות, פרסמה חברת גוגל כי אנשיה איתרו ובלמו מתקפת דיוג ששוגרה על ידי גורמים בתוך איראן וכוונה כנגד עשרות אלפי חשבונות דואר-אלקטרוני של אזרחים איראניים. המתקפה כללה שליחה של מייל המוסווה כמייל אחזקתי של מערכת Gmail ומבקש את הגולש להזין את שם המשתמש וסיסמת הדואר האלקטרוני שלו. המידע המוזן הועבר ישירות לתוקפים ואפשר להם גישה חופשית לתיבות הדואר האלקטרוני של המשתמש. עם זאת, חשיפת המתקפה הנוכחית הינה החשיפה המשמעותית הראשונה של פעילות ריגול איראנית במרחב הסייבר הבינלאומי, תחום אשר בו פועלות כיום בעיקר רוסיה וסין.

החשיפה הנוכחית מצטרפת לרשימה ארוכה של פעולות במרחב הסייבר, המיוחסות לאיראן ואשר מטרתן לפגוע בארה"ב, בישראל ובמדינות מערביות נוספות. אף שהחשיפה הזו אינה מצביעה על קפיצת מדרגה טכנולוגית ייחודית ביכולת לוחמת הסייבר האיראניות, היא מעידה על רמת ארגון מבצעי ומודיעיני גבוהה ועל קיומם של יעדים אסטרטגיים ארוכי טווח לאיראן בשנים האחרונות.

1 Comment

  1. ניר
    16 ביוני 2014 @ 18:41

    האמת מגיע למערב לאכול את הריגול הזה הרי כל אותם מהנדסי תוכנה היכן למדו ? באוינבסיטות בארצות הברית

error: התוכן באתר מגפון ניוז מוגן
דילוג לתוכן