אלה קבוצות הטרור הכי מאיימות כיום

עיבוד תמונה: Pexels

מאת טום הגל ואלכסנדר מילנקוסקי

מתחילת המלחמה בין ישראל לחמאס לתחום הסייבר יש תפקיד מכריע, אם כי בדרכים שהעולם לא בהכרח ציפה להן: ראינו שפלטפורמות סושיאל מדיה הפכו לזירה של דיסאינפורמציה ובלבול ציבורי, וגם המובילות שבהן עדיין לא מצליחות למנוע את התפשטות הפייק והמידע המוטעה בנושא המלחמה. יתרה מזאת – סביר שהן ימשיכו לשמש כגורם משפיע על דעת הקהל, ללא סימני עצירה בקרוב. בנוסף, אנחנו רואים התקפות ממוקדות מצד שחקנים הממומנים על ידי מדינות, והתקפות אלה יתורגמו להשלכות בעולם האמיתי, לכן מעקב צמוד על המרחב הדיגיטלי הוא קריטי.

כדי לגבור על גופי הטרור הסייברי ולעלות את הידע לגביהם אנחנו מציגים אוסף מעודכן של שחקנים, כדי שחוקרי אבטחת מידע, אנליסטים ומגני רשת יוכלו לעקוב אחריהם מקרוב. שחקנים אלה עשויים למלא תפקיד משמעותי ככל שהמלחמה נמשכת, כולל קבוצות APT (איומים מתקדמים מתמשכים) הקשורות לחמאס, חזבאללה ואשכולות פעילות מבוססי איראן. בעוד ש-APTs הממומנים על ידי מדינות צריכים להישאר במוקד, עלינו גם לעקוב בזהירות אחר השימוש ההולך וגובר בזהויות האקטיביסטיות שמשמשות למעשה להסוות פעולות שממומנות על ידי מדינות עוינות.

מהתקשורת ומגורמי התעשייה אנחנו מבקשים לנהוג בזהירות בעת הפצת תכנים שהופקו על ידי קבוצות האקטיביסטים הללו. חשוב לדעת ולזכור שהפצת טענותיהם, נקודות מבט ופעולותיהם תורמת להצלחתן, כחלק ממשימה רחבה יותר.

1. Arid Viper
כינויים נוספים: 23-C-APT, Grey Karkadann, Desert Falcon, Mantis

Arid Viper היא קבוצת איום העוסקת בריגול סייבר ובגניבת מידע מאז 2017 לפחות, בעיקר כנגד יעדים במזרח התיכון. בהתבסס על ההקשר הגיאופוליטי של פעילויותיה, יש חשד כי Arid Viper פועלת מטעם חמאס, אך דרוש מידע נוסף כדי לאשש הערכה זו באופן סופי. לדוגמה, צה"ל דיווח על קמפיין שנועד לתקוף חיילים המוצבים בסמוך לגבול עזה, ויש חשד כי הוא מופעל על ידי חמאס. קמפיין זה יוחס בנפרד ל-Arid Viper ברמת ביטחון בינונית, בהתבסס על דמיון במאפייני הקורבנות וטכניקות הדבקה ראשוניות, הדומות לפעילויות קודמות שיוחסו לקבוצה.

הקבוצה מתמקדת, לעיתים קרובות, במטרות ספציפיות ובהן דמויות פלסטיניות וישראליות בולטות, ובקבוצות רחבות יותר, לרוב מתחומים קריטיים כמו מגזרי ביטחון, ארגוני ממשל, אכיפת חוק ומפלגות או תנועות פוליטיות. וקטורי ההדבקה הראשוניים הנפוצים כוללים הנדסה חברתית ומתקפות פישינג באמצעות מסמכים מפתים בנושאים רלוונטיים. אלה כוללים לרוב יצירת קשר עם מטרות באמצעות רשתות חברתיות כמו פייסבוק ואינסטגרם, כאשר התחזות היא טכניקה נפוצה בשימוש.

Arid Viper משתמשת במגוון נוזקות כחלק מהמבצעים שלה: שלבי התקנה, דלתות אחוריות, אפליקציות ריגול למכשירים ניידים לפלטפורמות iOS ו-Android ועוד. מדובר בשחקן שמפגין חדשנות בעקביות: הנוזקות שלו מתוחזקות ומשודרגות באופן פעיל כדי לענות על הדרישות המבצעיות של הקבוצה, והוא מאמץ פרקטיקות של פיתוח נוזקות חדשות במגוון שפות תכנות וסקריפטים, כגון Delphi, Go, Python ו-C++.

2. Gaza Cybergang

כינויים נוספים: Molerats, 204TA, Gaza Hackers Team, Moonlight ויש עוד

Gaza Cybergang פעילה לפחות מאז 2012. היא מתמקדת בעיקר במטרות ברחבי המזרח התיכון, ובהם ישראל, אך נצפתה לעיתים רחוקות גם באיחוד האירופי ובארצות הברית. המטרות כוללות ממשלות, מגזרי ביטחון, אנרגיה, פיננסים, מדיה, טכנולוגיה, תקשורת וחברה אזרחית.

מדובר בקבוצה שחשודה בקשר לחמאס ופעולותיה מכוונות בעיקר נגד ישראל, תוך התמקדות באיסוף מודיעין וריגול. בהקשר של המלחמה בין ישראל לחמאס, אנחנו עוקבים אחריה כקבוצה המורכבת ממספר תת-קבוצות, שמשתפות פעולה נגד אותם קורבנות.

לאורך פעילותה ראינו שהקבוצה השתמשה במגוון כלים ייחודיים וזמינים לציבור, תוך העדפה בולטת לפישינג ממוקד כדרך גישה ראשונית. היא ידועה בכך שחבריה משתמשים במסמכים זדוניים ובקבצים מצורפים למייל כדי להפיץ נוזקות ולמשוך קורבנות באמצעות קישורים מפתים. הם נוהגים לפרוס כלים להשתמרות במערכות שנפגעו, כמו Molerat Loader, XtremeRAT, SharpStage, DropBook, Spark, Pierogi, PoisonIvy ועוד רבים שנצפו בשימוש על ידם לאורך השנים.

המטרות הכוללות של Gaza Cybergang הן בעיקר איסוף מודיעין וריגול. היא שואפת לאסוף מידע, לעקוב אחר התפתחויות פוליטיות באזור ולתמוך במטרותיה באמצעות פעילויות סייבר. הקבוצה פעילה במשך שנים רבות, וההתמדה והיכולת שלה להתאים את עצמה לשינויים במתיחות האזורית הופכים אותה לשחקן בולט בתחום האיומים בסייבר לעתיד.

תמונה:dreamstime

3. Plaid Rain

כינויים נוספים: Aqua Dev 1, Polonium

Plaid Rain הוא גוף איום שתועד לראשונה בשנת 2022 והוא מתמקד בעיקר במטרות בישראל במגוון רחב של תחומים, כולל ביטחון, ממשל, ייצור וארגונים פיננסיים.

Plaid Rain נחשבת לקבוצה שמקורה בלבנון וקשורה לחיזבאללה, אולם פעילותה מעידה על אפשרות לתיאום עם גורמי סייבר הקשורים לאיראן, ובעיקר למשרד המודיעין והביטחון של איראן (MOIS). ישנן כמה אינדיקציות התומכות בהערכה זו, אחת היא חפיפה בזיהוי מטרות ובשיטות עבודה (TTPs). שיתוף פעולה אפשרי זה בין MOIS ו-Plaid Rain ממקם את הקבוצה כחלק מרשת של שחקנים המשמשים כשליחים ומספקים יכולת הכחשה סבירה לממשלת איראן.

לצורך חדירה ראשונית, Plaid Rain מסתמכים בעיקר על ניצול חולשות ברשתות "במדרון התחתון" ושימוש באישורי גישה גנובים. ארסנל הכלים שלהם כולל מערך כלים מותאם היטב, בדגש על סט הכלים של נוזקת Creepy. נוזקות הקבוצה מספקות טווח רחב של פונקציות בהתאם למגמות האחרונות בתחום. לדוגמה, הנוזקה CreepyDrive משתמשת בשירותי ענן למטרות פיקוד ושליטה, ככל הנראה במאמץ להימנע מגילוי על ידי הסוואת התעבורה הזדונית כתעבורה לגיטימית.

Cedar .4

כינויים נוספים: Volatile Cedar, DeftTorero

Cedar מלבנון הוא שחקן איומי סייבר פחות ידוע, ויש לו היסטוריה של חדירות מוצלחות בלבנון, ישראל, מצרים, ארה"ב, הממלכה המאוחדת ועוד. הקבוצה תועדה לראשונה ב-2015 ומאז קיבלה תשומת לב מועטה מהתעשייה. בדומה ל-Plaid Rain ניכר כי קבוצת Lebanese Cedar קשורה לארגון חיזבאללה וכן קיימת אפשרות לתיאום עם גורמים הקשורים למשרד המודיעין והביטחון של איראן (MOIS).

השיטות הנפוצות של הקבוצה הזו לגישה ראשונית כללו פגיעות בשרתי אינטרנט של הקורבן לצורך פריסת רכיבי Webshell, כולל ASPXSpy, devilzshell ו-Caterpillar. הקבוצה עשתה שימוש בכלים Meterpreter ו-Explosive RAT שפותחו במיוחד, במטרה להשיג גישה דרך גניבת אישורי רשת לגיטימיים, ובסופו של דבר ריגול.

תמונה:dreamstime

5. אשכולות איראניים

איראן מארחת ומממנת מגוון שחקני מאיימים, שפעילותם מתרחבת מעבר להתמקדות הספציפית במלחמת ישראל-חמאס. שחקני האיום האיראנים מציגים הבדלים בגודל, ביכולות ובמוטיבציה משאר הקבוצות שציינו, והיו אחראים למגוון רחב של פעולות סייבר. בעוד שחלקם בעלי זיקה ברורה לממשלת איראן, פעילים רבים מציגים עצמם כעצמאיים. עם זאת, עדיין ייתכן שקבוצות אלה משמשות להסוואה של תמיכה ממשלתית, להשפעה על דעת הקהל ולהסתרה של ייחוס הפעולות ההתקפיות.

מכלול השחקנים בזירה האיראנית ממשיך להוות רכיב משמעותי ומגוון בנוף האיומים העולמי. בעת שאנו עוקבים אחר ההתפתחויות במזרח התיכון, חשוב להתמקד באיראן כגורם אפשרי למתקפות סייבר ישירות ולפעולות באמצעות פרוקסים המקבלים תמיכה מקבוצות הקשורות אליה, כמו חמאס וחיזבאללה.

טום הגל הוא חוקר איומים ראשי ב-SentinelLabs, ואלכסנדר מילנקוסקי הוא חוקר איומים בכיר ב-SentinelLabs