דוח: "החתלתולים האיראנים" עומדים מאחורי מתקפת הסייבר על אינטל ועמיטל

חברת הסייבר קלירסקיי חשפה כי ההאקרים שפרצו ל חברת שבבי ה-AI הבאנה של אינטל ולחברת התוכנה עמיטל הם קבוצה איראנית שפרצה בנוסף לעשרות חברות ישראליות ואף ניהלה לפני כשנה קמפיין נגד חברות ביטחוניות • הדוח מגדיר את הקבוצה כאחת מקבוצות התקיפה הפעילות ביותר נגד חברות וארגונים בישראל

האקרים / צילום: שאטרסטוק
האקרים / צילום: שאטרסטוק

האם נחשפו ההאקרים שתקפו בשבוע האחרון את חברת התוכנה עמיטל ואת חברת שבבי הבינה המלאכותית (AI) הבאנה של אינטל? דוח של חברת הסייבר הישראלית קלירסקיי מאשר ידיעות מהימים האחרונים, לפיהן מאחורי הגורם שלקח בפומבי אחריות על שתי המתקפות הללו - קבוצת התקיפה Pay2Kitten - עומדים האיראנים.

בשבועיים האחרונים אירעו בישראל שלוש מתקפות סייבר בעלות פרופיל תקשורתי חסר תקדים. זה החל בפריצה לחברת הביטוח שירביט על-ידי קבוצת התקיפה BlackShadow, עבר למתקפה שסוכלה נגד חברת התוכנה עמיטל, פריצה שפגעה גם בעשרות מלקוחותיה, והמשיך עם מתקפה נגד חברת שבבי ה-AI הבאנה של אינטל.

במקרה האחרון פרסמה קבוצת התקיפה Pay2Kitten מסמכים שכביכול נגנבו מחברת הבאנה, בחשבון הטוויטר שלה. המסמכים נגעו, כך נטען, לפיתוח שבב ה-AI "גויה".

הדוח של קלירסקיי מצביע על קשר בין Pay2Kitten לבין קבוצת התקיפה האיראנית FoxKitten, אותה הוא מגדיר "אחת מקבוצות התקיפה הפעילות ביותר מול חברות וארגונים בישראל".

הדוח מציין ומסביר כי "קבוצות התקיפה האיראניות מכונות בעולם הסייבר בשם 'חתלתולים' (באנגלית 'Kitten')". מטרת הקמפיין על-פי הדוח אינה רק גניבת מידע, אלא גם שיבוש, סחיטה, גניבת כסף וייתכן שאף קמפיין תודעה איראני שנועד לפגוע בישראל. על-פי הדוח, "השם שבחרו התוקפים לקמפיין, 'Pay2kitten', מצביע על העובדה שהחברות הנסחטות מעבירות כספים ישירות לקבוצת תקיפה איראנית".

עוד מתברר מהדוח כי שלוש הפרשות שהתפרסמו לאחרונה היו רק קצה הקרחון של קמפיין נרחב שמבצעים האיראנים נגד גופים במשק הישראלי. על-פי קלירסקיי, לא רק שקבוצת התקיפה האיראנית פעלה בחודשים האחרונים נגד עשרות חברות ישראליות, אלא שפעילות זו באה בהמשך לקמפיין שניהלה הקבוצה נגד חברות ביטחוניות ישראליות לפני כשנה.

"המעקב שלנו אחר קבוצת Fox Kitten נמשך למעלה משנה וחצי כשעיקר פעילותה היה בתחילה נגד חברות במגזר הבטחוני, ובמהלך השנה החלה הקבוצה לתקוף מגזרים נוספים רבים", נמסר מקלירסקיי. החברה הסבירה כי "על-פי ניתוח המתקפות האחרונות, ניצלה הקבוצה חולשות באתרי החברות הישראליות על-מנת לחדור למערכות המחשב שלהן".

קלירסקיי מציינת עוד כי מדובר בקמפיין תקיפה יוצא דופן, "מכיוון שעד לאחרונה האיראנים תקפו בעיקר לצורך ריגול ומודיעין, ואולם החל מחודש אוגוסט הם פועלים גם מתוך מטרה למחוק ולשבש מערכות מחשב ולגנוב ולסחוט חברות".

עוד ציין הדוח כי "דרך הפעולה של הקבוצה שונה מפושעים המתמחים בתקיפות כופרה. במקרים מסוימים, למרות תשלום כופר, החברות הנסחטות לא קיבלו מפתחות פתיחת הצפנה. להערכתנו, המטרה העיקרית של FoxKitten היא לגרום למבוכה, לבלבול ולנזק לחברות בישראל.

"כחלק מתהליך התקיפה, הקבוצה ביצעה איסוף מודיעיני ראשוני על החברות אותן תקפה, כולל בדיקת חולשות באתרי החברה או ניצול הרשאות שהודלפו, וכך חדרו התוקפים למערכות המחשוב של החברות הישראליות. לעתים המתינו התוקפים בסבלנות להזדמנות מתאימה והדליפו מידע מהחברות במשך שבועות וחודשים, עד שפעלו להצפנת וסחיטת החברה אליה חדרו".

צרו איתנו קשר *5988