דו"ח של טרנד מיקרו ו – ClearSky הישראלית חושף

קבוצת הסייבר Rocket Kitten האיראנית ממשיכה לתקוף יעדים בישראל ובמזרח התיכון
על פי המחקר, מאז תחילת השנה הותקפו על ידי הקבוצה מאות יעדים ביניהם חוקרי אקדמיה, עיתונאים, עובדים בחברות אבטחה ועוד המהווים יעדי תקיפה לקבוצה
קבוצת האקרים, שעל פי ההערכה של חוקרי הדוח, עובדת עבור המשטר האיראני, ממשיכה לתקוף מאות יעדים ויחידים בישראל ובמזה"ת – ואף מרחיבה את פעילותה. כך עולה מדו"ח חדש המשותף למעבדות המחקר TrendLabs של ענקית אבטחת המידע טרנד מיקרו וחברת ClearSky הישראלית.
על פי הדו"ח, הפרסומים בתקשורת על פעילות הקבוצה, הנקראת Rocket Kitten ופעילותה נחשפה בשנה וחצי האחרונות על ידי טרנד מיקרו, ClearSky וחברות נוספות, לא רק שהביאה להקטנת היקף הפעילות של חבריה אלא להיפך. הקבוצה הרחיבה את יעדיה וכעת על הכוונת נמצאים לא רק חברות וארגונים, אלא גם יחידים דוגמת עיתונאים, חוקרים ואנשי אקדמיה בעלי עניין אסטרטגי בתחומי דיפולמטיה, מדיניות חוץ ובטחון. החוקרים מציינים כי לא מדובר בפושעי סייבר בעלי עניין עסקי או כספי אלא בביצוע תקיפות סייבר הנושאות אופי מובהק של ריגול או אינטרסים פוליטיים מסוימים שניתן לשער את המוטיבציה של חבריה, זאת משום שאין ראיות עובדתיות לגבי המניעים שלהם.
הקבוצה פועלת מאז אמצע שנת 2014 אולם ביוני השנה, זיהו חוקרי ClearSky מהלכים חדשים ותנועות כנגד 550 יעדים במזה"ת ובכל העולם. חברי Rocket Kitten התחקו אחר קורבנות ספציפיים המחזיקים במידע בעל ערך או הם מהווים אמצעי מעבר ליעד האמיתי תוך שימוש בריגול או באמצעי Social Engineering והתאמה להרגלי הגולש על מנת לפתות אותם לפתוח קבצים או להגיע לאתרי פשינג ובצורה כזו להשתיל נוזקות במחשב הקורבן. החוקרים מציינים כי נעשה שימוש בזהויות מזויפות , שימוש הקורבן בדואר אלקטרוני בענן דוגמת Gmail או אחסון ב - Google Drive, דואר פישינג, שיחות טלפוניות ואפילו יצירת קשר באמצעות המדיה החברתית דוגמת פייסבוק.
בדו"ח מצוין כי דפוסי התקיפה הם פשוטים יחסית, הכוללת לעיתים שליחת דואר אלקטרוני עם שגיאות כתיב או טעויות העלולות להעלות חשד כי מדובר בגורם מזויף או עוין. יחד עם זאת מציינים החוקרים כי השיפור באיכות ההתחזות ,העקביות וההתמדה של קבוצת הסייבר, הבטיחה להם הצלחה בתקיפה ובצורה כזו הם הצליחו להשיג את מטרותיהם.
החוקרים מעריכים כי הקבוצה תמשיך בפעילותה וכותבים "מדובר בגורמים בעלי משאבים ויכולת לבצע פעילות בעקביות ולאורך זמן. רמת התכנון המדוקדקת והיצירתיות שמגלה הקבוצה מאפשרת להם להגיע לקורבן ולהגיע למידע ולמערכות אותם הם מבקשים לתקוף.
תמיר סגל, מנכ"ל טרנד מיקרו ישראל, אמר: "השילוב בין הכלים האנליטיים והניתוח של ClearSky – TrendLabs הוא שאיפשר לזהות ולנטר פעילות עוינת של קבוצת סייבר זו. אופי הפעילות של הקבוצה מהווה המחשה נוספת לצורך לגבש היערכות ולנקוט אמצעים חדשים, בעלי דפוסי פעולה שונים המסוגלים לנטר ניסיונות מעקב ואיסוף מידע. טרנד מיקרו, כגוף גלובלי עם יכולות טכנולוגיות ופריסה של מאות אנליסטים בכל העולם – מספקת יכולות כאלה. אנו שמחים שגם בישראל יותר ויותר ארגונים עסקיים, ציבוריים וממשלתיים מעניקים לנו את האמון ומיישמים את המערכות ההגנה והניטור שלנו".
בועז דולב, מנכ"ל חברת ClearSky, שיבח את שיתוף הפעולה עם חוקרי מעבדות Trend והוסיף שעל מנת להתמודד ברמה האישית מול תקיפות גניבת זהות ומידע כמו אלה שנחשפו בדוח הזה, חייב כל אחד מאיתנו להגן טוב יותר על חשבונות הדואר האלקטרוני האישי שלו, כולל הקשחת מנגנון ההזדהות לחשבון, גיבויו והפעלת אמצעי אימות הזדהות עם שני פקטורים (2FA). יש צורך לשמור על ערנות רבה, כולל אימות זהות השולח בערוץ נוסף (למשל ווטסאפ) במקרה וקיים בכך ספק. קיים קושי רב ביכולת שלנו לזהות בוודאות את הגורם האמיתי שיוצר איתנו קשר באינטרנט, בין אם בדואר אלקטרוני, בפייסבוק או בווטסאפ. המרחק בין השתלטות של תוקף על תיבת הדואר האלקטרוני האישית שלנו, להשתלטות על מידע ארגוני רגיש, הוא קטן, ומחייב חברות לשקול הקמת מערך הגנה גם על סביבת המיחשוב האישי הביתי של כל אחד מהעובדים, ביחוד בארגונים בהם מוטמעים או מותרים פתרונות BYOD.