APT35

APT35 תיאור

התקפות קבוצת האקרים apt35 ה-APT35 (Advanced Persistent Threat) היא קבוצת פריצות שמקורה לפי האמונה מאיראן. קבוצת הפריצה הזו מוכרת גם תחת כמה כינויים אחרים - צוות חדשות שדר, זרחן, חתול מקסים וצוות אבטחה של אייאקס. קבוצת הפריצה APT35 מעורבת בדרך כלל הן בקמפיינים ממניעים פוליטיים, כמו גם בקמפיינים בעלי מניע כלכלי. קבוצת הפריצה APT35 נוטה לרכז את מאמציה נגד שחקנים המעורבים באקטיביזם של זכויות אדם, ארגוני תקשורת שונים ובעיקר המגזר האקדמי. רוב הקמפיינים מתבצעים בארצות הברית, ישראל, איראן ובריטניה.

מסעות פרסום פופולריים של APT35

אחת הפעולות הידועות לשמצה של APT35 היא זו שבוצעה נגד HBO שהתרחשה בשנת 2017. בה, ה-APT35 דלף מעל 1TB של נתונים, שהורכבו מפרטים אישיים ותוכניות של הצוות, שעדיין לא שודרו באופן רשמי. עוד קמפיין ידוע לשמצה של APT35 שהעלה אותם על המפה הוא זה שכלל גם עריק מחיל האוויר האמריקאי. האדם המדובר סייע ל- APT35 בקבלת גישה לנתונים ממשלתיים מסווגים. בשנת 2018, קבוצת APT35 בנתה אתר אינטרנט שנועד לחקות חברת אבטחת סייבר ישראלית לגיטימית. ההבדל היחיד היה שלאתר המזויף היה שם דומיין שהשתנה מעט. קמפיין זה עזר ל-APT35 לקבל את פרטי הכניסה של חלק מלקוחות החברה. הקמפיין הידוע לשמצה האחרון בו מעורב ה-APT35 בוצע בדצמבר 2018. במבצע זה פעלה קבוצת APT35 תחת הכינוי Charming Kitten. מבצע זה כוון לפעילים פוליטיים שונים שהייתה להם השפעה על הסנקציות הכלכליות, כמו גם סנקציות צבאיות שהוטלו על איראן באותה תקופה. קבוצת APT35 התחזתה כאנשי מקצוע רמי דרג העוסקים באותם תחומים כמו המטרות שלהם. התוקפים השתמשו בדוא"ל דיוג מותאמים עם קבצים מצורפים מזויפים, כמו גם בפרופילים מזויפים של מדיה חברתית.

פישינג עם אימיילים מזויפים לראיונות

קמפיינים ממוקדים של פישינג הם חלק משיטת הפעולה של Charming Kitten, כאשר ההאקרים משתמשים במיילים מזויפים ובהנדסה חברתית כשיטות ביצוע. בקמפיין אחד של 2019, קבוצת Charming Kitten התחזה לעיתונאים לשעבר בוול סטריט ג'ורנל (WSJ) ופנתה לקורבנות המיועדים להם בתרחיש מזויף של ראיון. הקבוצה נצפתה גם באמצעות תרחישים שונים, כמו ''ראיון CNN'' ו''הזמנה לדויטשה-וול וובינר'', בדרך כלל סביב נושאים של איראן ועניינים בינלאומיים.

במקרה מסוים אחד, התוקפים יצרו אימייל מזויף בערבית, תוך שימוש בזהותו של פרנאז פאסיהי, כיום עיתונאי בניו יורק טיימס, שעבד בעבר בוול סטריט ג'ורנל במשך 17 שנים. באופן מעניין למדי, ההאקרים הציגו את פרנז פאסיהי כעובדת עבור המעסיקה לשעבר שלה, הוול סטריט ג'ורנל.


דוא"ל מזויף לבקשת ראיון - מקור: blog.certfa.com

תרגום דוא"ל:

שלום *** ***** ******
שמי פרנז פאסיהי. אני עיתונאי בעיתון וול סטריט ג'ורנל.
צוות המזרח התיכון של WSJ מתכוון להציג אנשים מצליחים שאינם מקומיים במדינות מפותחות. פעילותך בתחומי המחקר והפילוסופיה של המדע הביאה אותי להציג אותך כאיראני מצליח. מנהל צוות המזרח התיכון ביקש מאיתנו לקבוע איתך ראיון ולשתף את הקהל שלנו בכמה מההישגים החשובים שלך. ראיון זה יכול להניע את בני הנוער של ארצנו האהובה לגלות את כישרונותיהם ולהתקדם לעבר הצלחה.
מיותר לציין שהראיון הזה הוא כבוד גדול עבורי באופן אישי, ואני מפציר בכם להיענות להזמנתי לראיון.
השאלות מעוצבות באופן מקצועי על ידי קבוצה מעמיתיי והראיון שיתקבל יפורסם במדור הראיונות השבועיים של ה-WSJ. אשלח לך את השאלות והדרישות של הראיון ברגע שתסכים.
*הערת שוליים: לא מקומי מתייחס לאנשים שנולדו במדינות אחרות.
תודה על האדיבות ותשומת הלב.
פרנאז פאסיהי

כל הקישורים הכלולים במיילים היו בפורמט URL מקוצר, ששימש את האקרים כדי להדריך את הקורבן שלהם לכתובות לגיטימיות, תוך איסוף מידע חיוני על המכשירים שלהם, כגון מערכת הפעלה, דפדפן וכתובת IP. המידע הזה היה נחוץ מההאקרים לקראת המתקפה העיקרית על המטרות שלהם.


דוגמה של דף WSJ מזויף המתארח ב-Google Sites - מקור: blog.certfa.com

לאחר ביסוס אמון יחסי עם היעד המיועד, ההאקרים ישלחו להם קישור ייחודי, המכיל לכאורה את שאלות הראיון. על פי דגימות שנבדקו על ידי צוות חירום מחשבים בפרסית (CERTFA), התוקפים משתמשים בשיטה חדשה יחסית שצברה פופולריות רבה בקרב פישרים במהלך השנה האחרונה, ומארחת דפים בגוגל אתרים.

ברגע שהקורבן ילחץ על כפתור ''הורד'' בדף Google Site, הם יופנו לדף מזויף אחר שינסה לאסוף אישורי התחברות לכתובת האימייל שלו ולקוד האימות הדו-גורמי שלהם, באמצעות ערכות דיוג כמו Modlishka.

תוכנת DownPaper Malware של APT35

הכלי DownPaper הוא טרויאני בדלת אחורית, המשמש בעיקר כמטען שלב ראשון ויש לו את היכולות:

  • צור קשר עם שרת ה-C&C (Command & Control) של התוקף וקבל פקודות ומטענים מזיקים, אשר יש לבצע על המארח שחדר.
  • השג התמדה על ידי התעסקות ברישום Windows.
  • אסוף מידע על המערכת שנפרצה, כגון נתוני חומרה ותוכנה.
  • בצע פקודות CMD ו- PowerShell.

קבוצת הפריצה APT35 היא קבוצה מאוד מתמשכת של אנשים, ואין זה סביר שהם מתכננים להפסיק את פעילותם בזמן הקרוב. אם יש לזכור שהאקלים הפוליטי סביב איראן מתחמם כבר זמן מה, סביר להניח שנמשיך לשמוע על הקמפיינים של קבוצת APT35 בעתיד.

עדכון 10 במאי 2020 - APT35 מעורב בקמפיין פריצה ל-COVID-19

קבוצה של ארכיוני אינטרנט זמינים לציבור שנבדקו על ידי מומחי אבטחת סייבר חשפו כי קבוצת הפריצה האיראנית הידועה בשם Charming Kitten, בין היתר, עמדה מאחורי מתקפת סייבר באפריל נגד חברת תרופות מקליפורניה מבית Gilead Sciences Inc, המעורבת במחקר COVID-19.

באחד המקרים שבהם נתקלו חוקרי האבטחה, ההאקרים השתמשו בדף התחברות מזויף לדוא"ל שתוכנן במיוחד כדי לגנוב סיסמאות מבכירי גלעד, המעורבים בענייני תאגידים ומשפטים. המתקפה נמצאה באתר אינטרנט המשמש לסריקת כתובות אינטרנט לאיתור פעילות זדונית, אך החוקרים לא הצליחו לקבוע אם היא הצליחה.

קבוצות האקרים מתאימות
תרשים קבוצות האקרים מגמתיות של APT - מקור: Securitystack.co

אחד האנליסטים שחקרו את המתקפה היה אוהד זיידנברג מחברת אבטחת הסייבר הישראלית ClearSky. הוא העיר כי המתקפה נגד גלעד באפריל הייתה מאמץ לסכן חשבונות אימייל ארגוניים עם הודעה שהתחזה לחקירה של עיתונאי. אנליסטים אחרים, שלא היו מורשים להגיב בפומבי אישרו מאז שהמתקפה השתמשה בדומיינים ושרתים ששימשו בעבר את קבוצת הפריצה האיראנית הידועה בשם Charming Kitten.

הנציגות הדיפלומטית של איראן באו"ם הכחישה כל מעורבות בהתקפות מסוג זה , כאשר הדובר אלירזה מירוספי קבע כי "ממשלת איראן אינה עוסקת בלוחמת סייבר", והוסיפה "פעילויות הסייבר שבהן עוסקת איראן הן הגנתיות בלבד וכדי להגן מפני התקפות נוספות על תשתית איראנית".

מדינות ממוקדות תוקפי איראן
מדינות ממוקדות במסעות סייבר איראניים אחרונים - מקור: Stratfor.com

גילעד עקבה אחר מדיניות החברה בנוגע לדיון בענייני אבטחת סייבר וסירבה להגיב. החברה זכתה לתשומת לב רבה לאחרונה, שכן היא יצרנית התרופה האנטי-ויראלית remdesivir, שהיא כיום הטיפול היחיד שהוכח כמסייע לחולים הנגועים ב-COVID-19. גילעד היא גם אחת החברות המובילות את המחקר והפיתוח של טיפול במחלה הקטלנית, מה שהופך אותה ליעד מרכזי למאמצי איסוף מודיעין.