קיבלתם הצעת עבודה מחברת כח אדם שאתם לא מכירים? יכול להיות שנפלתם קורבן למתקפת סייבר איראנית.
קמפיין סייבר איראני חדש נגד ישראל רץ בחודשים האחרונים ברשתות, ומופעל על ידי קבוצת תקיפה איראנית המוכרת בשמות הבאים: Lyceum, Hexane ולאחרונה בתור Siamesekitten.
הקבוצה מנסה בחודשים האחרונים להשיג דריסת רגל בישראל, ולהשתלט על המידע של חברות רבות בארץ, ומשתמשת לשם כך בטקטיקת התחזות קלאסית שמופנית בעיקר – אל ההון האנושי.
.
.
Hi, can we connect?
התוקפים, שפועלים מתחת לרדאר בחודשים האחרונים, פועלים בדרך יצירתית למדי ו"הקימו" חברת מחשוב ותקשורת מזויפת שמשמשת כבסיס להפצת מודעות דרושים הייטק בפלטפורמות גיוס שונות (לדוג' Linkedin).
התוקפים הקימו פרופילים פיקטיביים של אנשי השמה להייטק, ומחלקות כוח אדם וגיוס כדי למשוך מועמדים להתחבר אליהם. המטרה הראשית שלהם הייתה לפתות עובדי חברות IT בישראל אשר מעוניינים להחליף ולשדרג את מקום עבודתם, ולהדביק את המחשב שממנו הם פונים לקבלת פרטים על הצעות העבודה המפתות.
טקטיקת התקיפה האיראנית משתלבת עם הגל העולה בעולם ההייטק של שדרוג מקומות העבודה, התנאים והתפקיד, ונשמעת כלגיטימית בין כל הצעות העבודה הרבים שמקבלים אותם העובדים.
צורת הפעולה הזאת מתחברת לחולשות העיקריות של חברות בתחום אבטחת המידע, שאותן סיקרנו בכתבה הקודמת.
.
אחיזה ברשת והשגת יכולת פעולה מתמשכת
שיטת התקיפה החביבה על הקבוצה האיראנית היא שליחת מסמכי Phishing נושאי נוזקה לעובדים. המסמכים נשלחים כהודעת פולו-אפ של אותם המגייסים אשר היו בקשר עם ה-"מועמד", ונשלחת תחת המעטה של מידע נוסף על החברה או התפקיד.
חברות סייבר נוספות שחקרו את פעילות הקבוצה הצליחו למצוא דמיון בין הפעילות של קבוצת ה-Siamesekitten, לבין הפעילות של שתי קבוצות התקיפה האיראניות – APT33 ו-APT34. הראשונה מהשתיים זוהתה בעבר כסוכנת של הממשל האיראני, השנייה לעומת זאת, עדיין לא. בדגש על העדיין.
לפי הערכת החוקרים, המתקפות האלה, וספציפית זאת, יחד עם המיקוד בחברות IT ותקשורת, מטרתן ביצוע קמפיין מודיעין וריגול מבוסס תקיפת שרשרת אספקה בישראל.
.
שיטת הפעולה של Siamesekitten:
- זיהוי הקרבנות הפוטנציאלים – עובדי הייטק בתחום ה-IT.
- זיהוי עובדי מחלקת משאבי האנוש אליהם התוקפים רוצים להתחזות.
- הקמת אתרי Phishing – התוקפים הקימו 2 אתרים מזוייפים – Software AG ו-ChipPc.
- יצירת מגוון קבצים זדוניים.
- הקמת פרופיל מזויף ב-Linkedin בשם HR employee.
- יצירת קשר עם הקרבנות באמצעות פרסום הצעות עבודה אטרקטיביות.
- קישור הקורבנות לאתרי ה-Phishing – הקורבנות מתבקשים להוריד קובץ XLS זדוני המציג פרטים מזויפים שונים על המשרה.
- יצירת Backdoor במחשב הקורבן ויצירת קשר עם שרת C&C (Command & Control) בחיבור DNS ו-HTTPS.
- נוזקה בשם DanBot מסוג RAT (Remote Access Trojan) יורדת במחשב הקורבן – הנוזקה היא בעצם תוכנה זדונית המאפשרת לתוקפים לשלוט במחשב הפגוע, להוריד או להעלות אליו קבצים ובאופן כללי להשתמש בו כתחנת Backdoor לחדירה עמוקה יותר למחשבי או רשתות הקורבנות.
- התוקפים משיגים גישה לנתונים למטרת ריגול ומנסים להתפשט ברשת.
.
.
המלצות וצעדים למניעה
התקיפה כולה מתבססת על הנדסת אנוש, ואחוז ההצלחה שלה קם ונופל על מודעות העובדים לנושא אבטחת מידע וסייבר, תקיפות Phishing והתנהלות נכונה ברשתות.
כצעד ראשון, מומלץ להנחות את כלל העובדים להימנע מפתיחת מיילים חשודים ממקורות בלתי מוכרים, במידה שנתקלתם באחד כזה, פנו מיידית למחלקת אבטחת המידע בארגון.
חוץ מזה, מומלץ לחסום ביצוע פעולות Macro של Office בארגון כברירת מחדל ולהקפיד להשתמש בסיסמאות חזקות ובאימות רב-שלבי (MFA).
נתוני הארגון שלכם הם מידע חשוב ויקר, וככזה, הוא צריך להיות מאובטח ומנוטר 7\24 בעזרת מודיעין סייבר כדי למנוע מתקפות כאלה ואחרות.
- בניית אתרים