קבוצת האקרים APT42 בחסות המדינה האיראנית מכוונת ממשלה, ארגונים לא ממשלתיים וארגונים בין-ממשלתיים לאסוף אישורים

בתחום אבטחת הסייבר, ערנות היא מעל הכל. גילויים אחרונים מ-Mandiant של Google Cloud שופכים אור על הפעילויות המרושעות של APT42, קבוצת ריגול סייבר בחסות המדינה, לפי האמונה פועלת מטעם משמרות המהפכה האסלאמית (IRGC) באיראן. עם היסטוריה שראשיתה לפחות לשנת 2015, APT42 התגלה כאיום משמעותי, המכוון למגוון רחב של ישויות כולל ארגונים לא ממשלתיים, מוסדות ממשלתיים וארגונים בין-ממשלתיים.

פועל תחת כינויים שונים כגון Calanque ו-UNC788, אופן הפעולה של APT42 מתוחכם ככל שהוא נוגע. תוך שימוש בטקטיקות של הנדסה חברתית, הקבוצה מתחזה לעיתונאים ומארגני אירועים כדי לחדור לרשתות המטרות שלה. על ידי מינוף האסטרטגיות המטעות הללו, APT42 זוכה באמון של קורבנות תמימים, מה שמאפשר להם לאסוף אישורים יקרי ערך עבור גישה לא מורשית.

אחד מסימני ההיכר של הגישה של APT42 הוא השימוש שלה במספר דלתות אחוריות כדי להקל על הפעילויות הזדוניות שלה. הדו"ח של Mandiant מדגיש את הפריסה של שתי דלתות אחוריות חדשות בהתקפות האחרונות. הכלים החשאיים הללו מאפשרים ל-APT42 לחדור לסביבות ענן, להסתנן נתונים רגישים ולהתחמק מזיהוי על ידי מינוף כלים בקוד פתוח ותכונות מובנות.

הניתוח של Mandiant חושף עוד יותר את התשתית המורכבת שהפעילה APT42 בפעילותה. הקבוצה מתזמרת קמפיינים נרחבים לאיסוף אישורים, ומסווגת את יעדיה לשלושה אשכולות נפרדים. מהתחזות לארגוני מדיה ועד להתחזות לשירותים לגיטימיים, APT42 נוקטת במגוון טקטיקות כדי לפתות את קורבנותיה לחשוף את אישורי הכניסה שלהם.

יתרה מכך, הפעילות של APT42 מתרחבת מעבר לריגול סייבר מסורתי. הקבוצה הוכיחה נכונות להתאים את הטקטיקה שלה , כפי שמעידה פריסתה של דלתות אחוריות מותאמות אישית כמו Nicecurl ו-Tamecat. כלים אלה, שנכתבו ב-VBScript וב-PowerShell בהתאמה, מאפשרים ל-APT42 לבצע פקודות שרירותיות ולחלץ מידע רגיש ממערכות שנפגעו.

למרות מתחים גיאופוליטיים וסכסוכים אזוריים, APT42 נשאר איתן במרדף אחר איסוף מודיעין. הממצאים של מנדיאנט מדגישים את חוסנה והתמדה של הקבוצה, שכן היא ממשיכה לכוון לגורמים הקשורים לנושאים גיאופוליטיים רגישים בארה"ב, בישראל ומחוצה לה. יתר על כן, החפיפה בין הפעילויות של APT42 לאלו של קבוצות פריצה איראניות אחרות, כמו Charming Kitten, מדגישה את האופי המתואם והרב-גוני של פעולות הסייבר של איראן.

מול איומים כאלה, אמצעי אבטחת סייבר יזומים הם הכרחיים. ארגונים חייבים לשמור על ערנות, להפעיל פרוטוקולי אבטחה חזקים ולהישאר מעודכנים בהתפתחויות האחרונות בתחום הגנת הסייבר. על ידי שיפור שיתוף הפעולה ושיתוף המידע, הקהילה הגלובלית יכולה להתמודד טוב יותר עם נוף האיומים המתפתח מקבוצות כמו APT42.

בסופו של דבר, הגילויים שסיפק מנדיאנט משמשים תזכורת מפוכחת לאופי המתמשך והנפוץ של איומי הסייבר. ככל שהטכנולוגיה ממשיכה להתקדם, כך גם ההגנות שלנו חייבות להתקדם. רק באמצעות פעולה קולקטיבית וחריצות בלתי מעורערת נוכל לקוות לצמצם את הסיכונים הנשקפים מקבוצות ריגול סייבר בחסות המדינה כמו APT42.