נמצא קשר בין קבוצות האקרים איראניות הפועלות במזרח התיכון

wittayayut / bigstockphoto.com IsraelDefense

חוקרי פאלו אלטו הצליחו לגלות קשר בין קבוצת OilRig לבין קבוצת GreenBug. שתי הקבוצות מזוהות עם המשטר האיראני, כאשר קבוצת GreenBug הייתה מעורבת ככל הנראה בהתקפת Shamoon נגד ערב הסעודית.

לפי המחקר של צוות Unit 42 מחברת פאלו אלטו, הקשר בין הקבוצות נמצא בכלי בשם ISMDoor. מדובר בכלי המאפשר הזלגת מידע מהרשת הארגונית באמצעות שימוש בפרוטוקול DNS. הכלי פותח על ידי GreenBug בעבר, ונמצא לראשונה בסט הכלים של קבוצת OilRig באחת ההתקפות האחרונות שביצעה.

החוקרים גילו התקפה של הקבוצה על חברה טכנולוגית במזרח התיכון שהתקיימה ביולי הנוכחי. מדובר בחברה שהותקפה על ידי הקבוצה גם לפני כשנה. אולם, בעוד לפני שנה נמצא כלי הזלגה בשם Helminth, השנה הקבוצה עבדה עם כלי בשם ISMAgent שהוא פיתוח של כלי ISMDoor.

"OilRig הוכיחו שוב ושוב נכון ורצון להיות מחזוריים בסט הכלים שלהם, תוך שמירה על רמה כלשהי של דמיון לאורך זמן. בתרחיש זה, הצלחנו ישירות להתבונן בסוג זה של התנהגות, בעוד גם לצפות ביישום כלי שנחשב בעבר לא קשור ל-OilRig", כותבים בצוות המחקר של פאלו אלטו.

"עם ההוספה של ISMAgent בתוך סט הכלים של OilRig, אנו מתחילים לראות קשרים חזקים בין הקבוצות המתועדות השונות הפועלות במזרח התיכון. אזור זה הוכיח להיות 'מיטה חמה' של פעילות ריגול במהלך השנים האחרונות, ואין סימנים שזה משתנה".