פלאש
נקודה
חיפוש בנקודה חפש
תל אביב
עננים בודדים
24°
ירושלים 22°
חיפה 23°
באר שבע 24°
אילת 27°
מדורים
שימושי PLUS
אודות · צור קשר · פרטיות
© נקודה

האקרים איראניים תקפו ישראל, ארה"ב ואיחוד האמירויות בקמפיין ריגול

פאלו אלטו נטוורקס חשפה שש נוזקות חדשות ושיטת פריצה שמנטרלת מנגנוני הגנה לפני שהספיקו לפעול

אתי עמר
אתי עמר
ט' סיון התשפ"ו
האקרים איראניים תקפו ישראל, ארה"ב ואיחוד האמירויות בקמפיין ריגול
האקרים איראניים תקפו ישראל, ארה"ב ואיחוד האמירויות בקמפיין ריגול מתוחכם

קבוצת האקרים איראנית ניהלה בחודשים האחרונים קמפיין ריגול מתמשך נגד גופים בישראל, בארצות הברית ובאיחוד האמירויות. זה לא דיווח מודיעיני מסווג - זה דוח שפרסמה היום חברת אבטחת המידע פאלו אלטו נטוורקס, ומה שהוא חושף הוא מטריד למדי.

הקבוצה הנדונה נקראת Screening Serpens, והיא מוכרת גם תחת השמות UNC1549, Smoke Sandstorm ו-"Iranian Dream Job". לפי צוות המחקר של UNIT 42 מטעם פאלו אלטו, מדובר בקבוצת תקיפה מתקדמת שפועלת לפחות מאז 2022 ומתואמת עם האינטרסים המודיעיניים של איראן. ולמי שתוהה - כן, השם "Iranian Dream Job" הוא רמז לשיטת הפעולה שלהם, שעליה נרחיב בהמשך.

התקיפות בוצעו בין אמצע פברואר לאפריל 2026, וכאן מתחיל החלק שאי אפשר להתעלם ממנו: העיתוי אינו מקרי. הקמפיין תאם באופן הדוק להסלמה האזורית שהחלה ב-28 בפברואר 2026 ולמבצע "שאגת הארי". בפאלו אלטו מציינים בפירוש שמדובר בשני גלי מתקפות מתואמים - לא פעילות ספורדית, לא האקרים משועממים. תכנון.

במהלך החקירה זיהו החוקרים שש גרסאות חדשות של סוסי טרויאני לגישה מרחוק, שסווגו לשתי משפחות נוזקה שנקראות MiniUpdate ו-MiniJunk V2. הנוזקות האלה אינן פשוטות - הן מסוגלות לגנוב מידע, לאסוף קבצים, לנטר את פעילות המשתמשים ולהפעיל פקודות מרחוק בתוך מערכות הארגון שנפרץ. לפחות אחת מהגרסאות נבנתה עם הוראות תזמון מדויקות, מה שמעיד על תכנון מוקדם ועל ניסיון לבצע תקיפות מסונכרנות.

אבל הפרט שמטריד במיוחד את חוקרי הסייבר הוא שיטת הפריצה עצמה. הקבוצה השתמשה בטכניקה שנקראת AppDomainManager hijacking - שיטה שמנצלת את שלב האתחול של יישומי מחשב נפוצים כדי לנטרל את מנגנוני האבטחה עוד לפני שהספיקו בכלל להיכנס לפעולה. איך? באמצעות קובץ תצורה שנראה לגמרי לגיטימי. כשמערכות ההגנה כבר מנוטרלות מהרגע הראשון, הארגון המותקף לא יודע שמשהו קרה עד שמאוחר מדי.

הקבוצה השתמשה גם בטכניקה נוספת הידועה כ-DLL Side Loading, שמאפשרת להריץ קוד זדוני דרך קבצים ותהליכים לגיטימיים של מערכת ההפעלה. בפועל, הנוזקה "מתחבאת" בתוך רכיבים שנראים תקינים לחלוטין - וזו בדיוק הסיבה שמערכות אבטחה רגילות מתקשות לזהות אותה בזמן אמת.

כאן נכנסת גם שיטת ההתחקות הקלאסית של הקבוצה הזו, שהפכה אותה למוכרת מאוד בקהילת הסייבר. Screening Serpens מתמחה בהנדסה חברתית ממוקדת: היא שולחת הצעות עבודה מזויפות שמתחזות לחברות ולפלטפורמות גיוס מוכרות, ובמיוחד מכוונת לאנשי מקצוע בתחום הטכנולוגיה. במסגרת אחת ממסעות התקיפה השתמשו התוקפים במסמכי משרות מזויפים ובארכיון שהתחזה ל"פורטל גיוס" כדי להכניס את הנגיף לתוך המערכות. במסע אחר, שנראה כי כוון לגוף ישראלי, הנוזקה הוסתרה בתוך קובץ שהתחזה להתקנה של פלטפורמת שיחות וידיאו פופולרית. החוקרים ציינו שאין עדות לכך שהחברה המתחזה נפרצה בעצמה - התוקפים השתמשו בשמה לצורכי זיוף בלבד.

מעניין לציין שהתקיפות לא התמקדו רק במדינות שנמצאות בעימות ישיר עם איראן. לפי הדוח, ככל הנראה הותקפו גם שני יעדים נוספים במזרח התיכון שפרטיהם לא פורסמו. פאלו אלטו מסרה כי הקבוצה שמרה על "קצב פעילות גבוה ועקבי" לאורך מרץ ואפריל, ושבפעילותה האחרונה ניכרת עלייה ברורה ביכולות הטכניות שלה.

החברה מזהירה שאין סימן לכך שהקבוצה מתכוונת להאט את פעילותה. "נכון לאפריל 2026, Screening Serpens אינה מראה שום סימן להאטה וממשיכה לנהל קמפיינים גלובליים מתמשכים ומסתגלים", נמסר מחברת פאלו אלטו. הם ממליצים לארגונים לחזק את ההגנות שלהם ולהתכונן לניסיונות נוספים בטווח הקרוב.

בשורה התחתונה, מה שהדוח הזה מראה הוא שמלחמות לא נלחמות רק בשמיים ובים - הן נלחמות גם ברשתות המחשבים של חברות וארגונים, ולפעמים בשקט, בלי שאף אחד שם לב.

פאלו אלטו מעריכה שהקבוצה האיראנית תמשיך בפעילותה ומזהירה ארגונים ברחבי העולם להיערך בהתאם.
קבוצת האקרים איראן Screening Serpens פאלו אלטו נטוורקס ריגול סייבר נוזקות MiniUpdate AppDomainManager hijacking שאגת הארי תקיפות מתואמות סוסי טרויאני

תגובות

רגע, שקט פה מדי

דעתך חשובה - תהיו הראשונים להגיב על הכתבה