Telecom News - קורבנות בישראל למתקפת סייבר המבוצעת ע"י קבוצת תקיפה המזוהה עם איראן

קורבנות בישראל למתקפת סייבר המבוצעת ע"י קבוצת תקיפה המזוהה עם איראן

דף הבית >> חדשות עולם הסייבר >> קורבנות בישראל למתקפת סייבר המבוצעת ע"י קבוצת תקיפה המזוהה עם איראן
קורבנות בישראל למתקפת סייבר המבוצעת ע"י קבוצת תקיפה המזוהה עם איראן
מאת: מערכת Telecom News, 7.12.22, 13:52CYBER FREE
 
בין הגופים המותקפים בישראל: חברות משאבי אנוש, טכנולוגיות מידע ותעשיית היהלומים. פניה למפתחי התוכנה, כדי להודיע להם על פרצה אפשרית, לא נענתה.
 
חוקרי חברת אבטחת המידע ESET גילו נוזקת Wiper (נוזקת השמדת מידע) חדשה ואת כלי הביצוע שלה, שניהם מיוחסים לקבוצת Agrius המזוהה עם איראן. מפעילי הנוזקה ביצעו מתקפת שרשרת אספקה כאשר ניצלו לרעה מפתח תוכנה ישראלית כדי לפרוס את נוזקת השמדת המידע שלהם המכונה 'פנטזיה', וכלי הביצוע הנקרא 'סנדלים'.

קבוצת התקיפה ניצלה תוכנה ישראלית בה עושים שימוש בתעשיית היהלומים. בחודש פברואר 2022 החלה הקבוצה להתמקד בחברות ישראליות מתחום משאבי האנוש, תעשיית היהלומים וחברת ייעוץ לטכנולוגיות מידע. הקבוצה ידועה בפעילותה ההרסנית וקורבנותיה נצפו גם בדרום אפריקה ובהונג קונג.

פנטזיה, נוזקת השמדת המידע, מוחקת את כל הקבצים בדיסק או את כל הקבצים הכוללים סיומת מרשימה של 682 סיומות כולל כאלו ליישומי Microsoft 365 כמו Word, Excel ו-PowerPoint ופורמטים של וידאו, אודיו ותמונות.

למרות שהנוזקה עובדת כך שההתאוששות והחקר יהפכו לקשים יותר, ההתאוששות של מערכת ההפעלה היא אפשרית. הקורבנות נצפו חוזרים לפעילות תוך שעות ספורות.

Agrius היא קבוצת תקיפה חדשה המזוהה עם איראן ומתמקדת בקורבנות בישראל ובאיחוד האמירויות מאז 2020. תחילה הקבוצה פרסה וויפר, שהתחפש לתוכנת כופר ולאחר מכן שינתה אותו לתוכנת כופר מלאה. Agrius מנצלת פגיעויות ידועות ביישומי אינטרנט כדי להתקין webshells, ולאחר מכן איסוף מידע ולאחר מכן פורסת את המטענים הזדוניים שלה.

אדם בורגר, אנליסט מודיעין איומים בכיר ב-ESET: "הקמפיין נמשך כ-3 שעות, ובמסגרת הזמן הזו, לקוחות החברה כבר היו מוגנים באמצעות זיהויים, שזיהו את 'פנטזיה' כנוזקת מחיקת מידע וחסמו את ביצועה. ראינו את מפתח התוכנה משחרר במהרה עדכונים נקיים תוך שעות ספורות מהמתקפה. החברה יצרה קשר עם מפתחי התוכנה כדי להודיע להם על פרצה אפשרית, אך הפניה לא נענתה.

ב-20.2.22 קבוצת התקיפה פרסה כלים לקצירת אישורים בארגון בתעשיית היהלומים בדרום אפריקה, ככל הנראה, כהכנה לקמפיין זה. ואז, ב-12.3.22 פתחה במתקפה ע"י פריסת הנוזקה וכלי הביצוע, תחילה לקורבן בדרום אפריקה, אחר כך לקורבנות בישראל, ולבסוף לקורבן בהונג קונג".
 
הדו"ח המלא - כאן.
 
ציר זמן ומיקומים של קורבנות המתקפה:
ESET
 
 



 
 
Bookmark and Share