פלאש
נקודה
חיפוש בנקודה חפש
תל אביב
שמיים בהירים
25°
ירושלים 22°
חיפה 23°
באר שבע 24°
אילת 34°
מדורים
שימושי PLUS
אודות · צור קשר · פרטיות
© נקודה
ריגול איראני נחשף

חברת סייבר חשפה: איראן ריגלה אחר גופים בישראל, ארה"ב ואיחוד האמירויות

חברת פאלו אלטו נטוורקס זיהתה קמפיין ריגול איראני עם שיטת פריצה חדשה שנועדה לנטרל מנגנוני הגנה לפני שהספיקו לפעול - העיתוי תאם למבצע "שאגת הארי"

מערכת נקודה
מערכת נקודה
ח' סיון התשפ"ו
חברת סייבר חשפה: איראן ריגלה אחר גופים בישראל, ארה"ב ואיחוד האמירויות
פאלו אלטו חשפה: איראן ריגלה אחר גופים בישראל, ארה"ב ואמירויות

חברת אבטחת המידע פאלו אלטו נטוורקס חשפה קמפיין ריגול מתוחכם של קבוצה איראנית שפעלה נגד גופים בישראל, בארה"ב ובאיחוד האמירויות הערביות. הקמפיין כלל שיטת פריצה חדשה שלא נראתה עד כה, ועיתויו תאם בדיוק למבצע "שאגת הארי" ולהסלמה הביטחונית האזורית שהחלה בסוף פברואר.

צוות המחקר UNIT 42 של החברה פרסם ביום ראשון דוח מפורט שמזהה את הגורם מאחורי הקמפיין כקבוצת ריגול בשם Screening Serpens. הקבוצה מוכרת גם בשמות UNC1549, Smoke Sandstorm ו-"Iranian Dream Job", וכולן מקושרות לאיראן. על פי הדוח, הקבוצה פעלה בין אמצע פברואר לאפריל 2026, כלומר החלה לפעול שבועיים לפני תחילת הלחימה המול איראן, ועצרה בערך כשהחלה הפסקת האש.

הממצא הבולט ביותר הוא שימוש בטכניקת פריצה חדשה שקרויה AppDomainManager hijacking. השיטה מנצלת את שלב האתחול של יישומי NET., ומאפשרת לתוקפים לנטרל את מנגנוני ההגנה של המערכת עוד לפני שהם בכלל מספיקים לפעול. הכלי שבאמצעותו מתבצע הנטרול הוא קובץ קונפיגורציה שנראה לגיטימי לחלוטין, מה שמקשה מאוד על זיהויו.

לפי הדוח, ברגע שמנגנוני ההגנה מנוטרלים כבר בשלבי ההפעלה הראשונים, הארגון המותקף נותר חשוף לחלוטין. ממצב זה ניצלו התוקפים כדי להחדיר נוזקות ריגול מבלי שמערכות הזיהוי והניטור הספיקו להגיב בזמן אמת.

החוקרים זיהו שש גרסאות חדשות של סוסי טרויאני לגישה מרחוק, המכונים RAT. הגרסאות סווגו לשתי משפחות נוזקה שונות ופעלו במקביל, במסגרת שני גלי תקיפה מתואמים שכוונו נגד יעדים שונים. לפחות אחת מהגרסאות כללה הוראות תזמון ייעודיות שאפשרו הפעלה מדויקת של המתקפה בעיתוי שנקבע מראש.

יכולות הנוזקות שהופעלו במסגרת הקמפיין היו רחבות במיוחד: גניבת מידע, איסוף קבצים, ניטור פעילות המשתמשים בארגון, והפעלת פקודות מרחוק בתוך מערכות שנפרצו. שילוב של שיטת הפריצה החדשה עם יכולות אלו הפך את הקמפיין למאתגר במיוחד לזיהוי ולעצירה.

החוקרים ציינו כי עיתוי הפעילות תאם באופן הדוק להסלמה האזורית שהחלה ב-28 בפברואר 2026 ולמבצע "שאגת הארי". לדבריהם, מדובר בחלק ממגמת הסלמה רחבה יותר של פעילות הסייבר האיראנית על רקע המתיחות הביטחונית שהחריפה במזרח התיכון בחודשים האחרונים.

פאלו אלטו לא פירטה את שמות הגופים שנפגעו בפועל, אך ציינה כי לפחות חלק מהיעדים שכוונו אליהם הם ארגונים בעלי רגישות גבוהה. מעבר ל-3 המדינות המאושרות, ישנם ככל הנראה גם שני יעדים נוספים במדינות אחרות במזרח התיכון שפרטיהם לא פורסמו.

הדוח מהווה המשך לגל חשיפות של פעילות סייבר איראנית שתועדה בחודשים האחרונים, ומצביע על כך שהמאמצים האיראניים בתחום הריגול הדיגיטלי לא פסקו גם בזמן הלחימה הפיזית. עם פרסום הדוח, צפוי שגופים מותקפים וחברות אבטחת מידע יבחנו את המערכות שלהן כדי לזהות עקבות של חדירה דומה.

חשיפת הקמפיין מדגישה את הצורך של ארגונים ברחבי המזרח התיכון ובמערב לעדכן מנגנוני הגנה בהתאם לטכניקות פריצה שמתחדשות כל הזמן.
פאלו אלטו נטוורקס קמפיין ריגול איראן AppDomainManager hijacking NET סוסים טרויאניים RAT Screening Serpens שאגת הארי שיטת פריצה חדשה

תגובות

רגע, שקט פה מדי

דעתך חשובה - תהיו הראשונים להגיב על הכתבה