מהנדס ישראלי בתעשייה ביטחונית מקבל הצעת עבודה מפתה מחברה בינלאומית. הוא יוצר איתם קשר ומקבל זימון לראיון בשיחת וידאו. מה שהוא לא יודע הוא שמהעבר השני של המסך לא יושב מגייס, אלא קצין איסוף של משמרות המהפכה האיראניות, שמטרתו להערים על המהנדס ולהשתמש בו, ללא ידיעתו, כדי לפתוח לטהרן צינור ישיר ללב סודות הביטחון של ישראל וארה"ב.
הסצנה הזו היא חזית הלחימה החדשה שנחשפת כעת בדוח של חברת פאלו אלטו. בזמן שכוחות הביטחון פועלים בשטח במסגרת המלחמה באיראן, זרועות הסייבר של טהרן ניהלו מערכת צייד אגרסיבית נגד אנשי טכנולוגיה ישראלים במגזרי הביטחון, התעופה והתקשורת.
ציידי הג'ובים
הקבוצה, המוכרת בענף תחת השם "Screening Serpens" וכן "UNC1549" או "Smoke Sandstorm", תקפה באופן ממוקד גופים בארה"ב, ישראל ואיחוד האמירויות, לצד שני יעדים נוספים במזרח התיכון, כך גילו צוותי מחקר של חברת אבטחת המידע האמריקנית, פאלו אלטו. על פי החוקרים, עיתוי הקמפיין תואם במדויק להסלמה האזורית שהחלה בסוף פברואר 2026, עם מבצע שאגת הארי.
הכי מעניין
הבחירה של המודיעין האיראני לפעול במקביל נגד יעדים בישראל, בארצות הברית ובאיחוד האמירויות לא מקרית. מהניתוח הטכנולוגי של הדו"ח עולה כי לא מדובר בסדרת תקיפות אקראיות, אלא בשני גלי מתקפות סייבר מתואמים ומתוזמנים היטב, שגם פעלו באופן מתוחכם, שהקשה על חשיפת המבצע.
ממצאי הדוח מעלים כי האיראנים התמקדו באופן מובהק באנשי טכנולוגיה, הנדסה ו-IT, העובדים במגזרים בעלי חשיבות אסטרטגית: תעופה וחלל, ייצור ביטחוני ותקשורת. כדי לחדור לארגונים, הקבוצה הפעילה מערך מתוחכם המבוסס על "מלכודות גיוס".
התוקפים התחזו לחברות ענק, בהן חברת תעופה בינלאומית מוכרת, ופנו למועמדים הנמצאים בתהליכי חיפוש עבודה. בחברה מדגישים כי לא נמצאה כל אינדיקציה לפריצה לתשתיות של החברות אליהן התחזו אותם אנשי מודיעין איראניים.
הפניות שקיבלו הקורבנות נראו אותנטיות והכילו תיאורי משרה מפורטים, לרבות מזהי משרה פיקטיביים (Job IDs). ברגע שהמועמד ניסה להיכנס ל"פורטל הגיוס" כדי להתקדם בתהליך, הוא הפעיל, מבלי לדעת, את שרשרת התקיפה.
במסגרת הקמפיין הממוקד נגד יעד ישראלי, המנוהל מאז סוף מרץ, התוקפים שלחו לקורבן קישורים לגיטימיים לחלוטין לפלטפורמת שיחות וידאו פופולרית כדי לבנות אמון, ולאחר מכן הפנו אותו לעמוד מזויף שהציג הודעת שגיאה ודרש ממנו להוריד "עדכון תוכנה" כדי להצטרף לשיחת הווידאו המתוכננת.
ברגע שהמהנדס אישר את ההורדה - הפריצה הושלמה. התוכנה הזדונית השתלטה בחשאי על המחשב והפכה ל"שלט רחוק" עבור המפעילים באיראן. דרך הצינור הזה, ההאקרים קיבלו שליטה מלאה על מערכת הקבצים בארגון והחלו בשאיבת מידע אינטנסיבית. כדי לחמוק ממערכות הניטור של הארגון, תוכנת הריגול האיראנית פירקה את הקבצים הביטחוניים הגנובים לחלקים קטנים וזעירים, והבריחה אותם החוצה בשקט, טיפין-טיפין, ישירות לשרתי ענן ייעודיים שהוקמו מראש עבור כל מדינת יעד.
סוס טרו(ר)יאני
במהלך החקירה זוהו שש גרסאות חדשות של סוסים טרויאניים לחדירה מרחוק, שנועדו לעקוף בעורמה את מערכות ההגנה של אותם ארגונים. כך למשל, כדי להסוות את הפעילות באמירויות, התוקפים החליפו את כתובות השרתים שלהם כך שיחקו דומיינים לגיטימיים של גופים מתחום הבריאות והרפואה במדינה. בארה"ב, תוכנת הריגול הופעלה באמצעות ממשק מזויף שנשא את הכותרת "Meeting Room" ודרש מהקורבן להזין כתובת קישור, בזמן שברקע התבצע הריגול בשקט.
פריצת הדרך הטכנולוגית המשמעותית ביותר בקמפיין הנוכחי משתמשת בטכניקה המכונה "AppDomainManager hijacking". במקום לכתוב קוד מורכב ומחשיד בזיכרון כדי לנטרל את מערכות האבטחה, התוקפים ניצלו פרצה בהגדרות של מיקרוסופט, שתלו שורות קוד בתוך קובץ ההגדרות של התוכנה שהמהנדס הוריד למחשב האישי. באותה פרצה הם השתמשו כדי לגרום למערכת לכבות את מנגנוני האבטחה של עצמה.
כתוצאה מכך, לתוכנה הזדונית הייתה גישה לכל החומרים, כשהיא סמויה לחלוטין מעיני מנהלי הרשת.
על פי הדוח, הקבוצה מראה סימנים של המשכיות ואדפטיביות גבוהה, ולא נראה שהיא מאטה את פעילותה. החוקרים המליצו לארגונים לחדד את כלי הניטור שלהם כדי לזהות שינויי הגדרות חריגים בתוכנות, ולא להסתמך רק על חתימות דיגיטליות או על זיהוי של תוכנות זדוניות מוכרות בעבר.