Izraelska Narodowa Dyrekcja do spraw Cybernetycznych (Ma’arach) wydała w weekend pilne ostrzeżenie w sprawie ataków w sieci na izraelskie organizacje i przedsiębiorstwa. Obecnie celem są między innymi firma modowa H&M Israel i logistyczna Varitas. Ataki prowadzone są za pomocą złośliwego oprogramowania, które blokuje dostęp do systemu komputerowego lub uniemożliwia odczyt zapisanych w nim danych. Drugim elementem jest żądanie od ofiary – administratora systemu – okupu za przywrócenie stanu pierwotnego.
W ostatnim czasie Jerozolima bardzo często ujawnia ataki ransomware. Bardzo możliwe jest, że podmiot odpowiedzialny za bieżące ataki odpowiada również za poprzednią ofensywę w sieci. Ma nim być grupa ransomware Pay2Key, której przypisywany jest związek z Islamską Republiką Iranu. Firmę modową H&M Israel zaatakował jednak syndykat cyberprzestępców „n3twOrm”. Twierdzi on, że udało się ukraść około 110 gigabajtów danych, które zostaną opublikowane 5 maja, jeśli jego żądania nie zostaną spełnione. W przypadku przedsiębiorstwa Varitas termin zapłaty okupu upływa dzisiaj.
W zeszłym tygodniu dyrekcja do spraw bezpieczeństwa w cyberprzestrzeni wydała ostrzeżenie w związku z irańskimi próbami prowadzenia cyberataków W Izraelu Dzień Jerozolimy (Jom Jeruszalaim) jest świętem narodowym, ustanowionym w celu upamiętnienia zwycięstwa Izraela w wojnie sześciodniowej i ustanowienie izraelskiej kontroli nad Starym Miastem w czerwcu 1967 roku.
W zeszłym tygodniu Ma’arach wydała ostrzeżenie w związku z irańskimi próbami prowadzenia cyberataków, do których może dojść w okolicach Dnia Jerozolimy (Jom Jeruszalaim). W Izraelu jest to święto narodowe, ustanowione w celu upamiętnienia zwycięstwa Izraela w wojnie sześciodniowej i ustanowienia izraelskiej kontroli nad Starym Miastem w czerwcu 1967 roku.
W październiku ubiegłego roku firmy ClearSky i Profero, specjalizujące się w systemach bezpieczeństwa, zgodnie stwierdziły, że udaremniły próby włamań dokonywanych przez specjalistów zatrudnianych i opłacanych przez Korpus Strażników Rewolucji Islamskiej. Specjaliści zapewniali, że zidentyfikowali i udaremnili ataki, zanim wyrządziły jakiekolwiek szkody. Jednocześnie ostrzegli, że podobne metody mogły zostać użyte wcześniej w działaniach wymierzonych w Izrael, których do tej pory nie ujawniono. Ze względów bezpieczeństwa nie ujawniono nazw izraelskich firm będących celem ataków.
Iran [cyber]attacks Israel on a daily basis. We see these attacks and we foil these attacks all the time.
Iran threatens us in many other ways. They have issued in the last 24 hours threats that say that they'll destroy us, they'll target our cities with missiles. pic.twitter.com/xrhrbpxw2b— PM of Israel (@IsraeliPM) January 29, 2019
Jedną z takich grup hakerów jest „MuddyWater”, której działania były nakierowane na branżę turystyczną i edukacyjną oraz agencje rządowe. Cyberprzestępcy wykorzystywali takie programy jak Screen Connect i Remote Utillities bazujące na spearphishingu, czyli phishingu wycelowanym w konkretnie wybrane osoby. Ataki miały większy zasięg, gdyż oprócz Izraela ucierpiały również podmioty ze Zjednoczonych Emiratów Arabskich, Arabii Saudyjskiej i Azerbejdżanu.
Modus operandi hakerów polega na tym, że najpierw rozsyłają do ofiar e-maile, w których znajdują się linki odsyłające do legalnej witryny służącej do udostępniania plików. W tych miejscach znajdują się pakiety plików zawierających złośliwe oprogramowanie. Wówczas hakerzy uzyskują zdalny dostęp do urządzeń przedsiębiorstwa.
MuddyWater wysyłała również wiadomości phishingowe z dołączonymi złośliwymi plikami Excel lub pdf. Po otwarciu dokumenty pobierały wariant oprogramowania Thanos na komputer docelowej firmy. Ataki zidentyfikowano za pomocą powtarzającego się kodu zawierającego słowo „Covic”, które według raportu może wskazywać na inspirację chorobą COVID-19.
انفجار در نیروگاه 'شهید مدحج زرگان
رییس سازمان آتش نشانی و خدمات ایمنی شهرداری اهواز وقوع انفجار در نیروگاه "شهید مدحج زرگان" در این شهر را تایید کرده و گفته است که دلیل آتشسوزی انفجار ترانس در نیروگاه بوده است. pic.twitter.com/m4THcwqqNF— BBC NEWS فارسی (@bbcpersian) July 4, 2020
W pierwszej połowie kwietnia Szin Bet i Mosad oskarżyły Iran o wykorzystywanie fałszywych kont w mediach społecznościowych, w szczególności na Instagramie, do zwabienia obywateli państwa żydowskiego za granicę. Irańczycy mieli korzystać z profili, za których pomocą usiłowali dotrzeć do Izraelczyków z międzynarodowymi kontaktami biznesowymi i próbowali „uwikłać ich w spotkania romantyczne lub handlowe” w różnych krajach.
Irańskie ataki – znacznie mniej wyspecjalizowane – są elementem wojny w sieci toczonej między Teheranem a Jerozolimą. Latem ubiegłego roku doszło do serii prawdopodobnych ataków, w tym pożaru elektrowni Zargan w mieście Ahwaz i eksplozji trzech zbiorników gazu w bazie wojskowej w Parchinie. Izrael oskarżono też o wykonanie 8 maja 2020 roku poważnego cyberataku na irański port Szahid Radżaei, który spowodował wielodniowy chaos.
Uznano, że uderzenie w sieci wykonano prawdopodobnie w odwecie za wcześniejszą próbę przeniknięcia do komputerów, które obsługują wiejskie systemy dystrybucji wody w Izraelu. Prym w działaniach przeciwko Iranowi wiedli żołnierze elitarnej Jednostki 8200 Korpusu Wywiadu Sił Obronnych Izraela.
Zobacz też: Cztery haubice będą walczyć na poligonie o zamówienie od US Army
(israeldefense.co.il, timesofisrael.com, securityweek.com)
