דו"ח של קבוצת ניתוח הסיכונים של גוגל (Threat Analysis Group) מציג מידע מעניין על APT42, קבוצת האקרים בתמיכת ממשלת איראן, המבצעת קמפיינים של פישינג נגד ישראל ומטרות ישראליות. כמו כן, הקבוצה מרכזת מאמצים בחשבונות הקשורים לבחירות לנשיאות ארה"ב.
APT42, השייכת למשמרות המהפכה האסלאמית של איראן (IRGC), מנסה לפגוע במשתמשים בפרופיל גבוה בישראל ובארה"ב, כולל פקידי ממשל נוכחיים ולשעבר, דיפלומטים, אנשים העובדים במכוני מחקר, וכן ארגונים לא ממשלתיים ומוסדות אקדמיים התורמים לשיחות מדיניות חוץ.
במהלך ששת החודשים האחרונים, 60% מהתקיפות של הקבוצה בוצעו כלפי גורמים בארה"ב ובישראל. בין השאר, טורגטו בכירים לשעבר בצבא הישראלי ואנשים הקשורים לשני הקמפיינים הנשיאותיים בארה"ב.
קמפיינים ממוקדים של פישינג לאיסוף נתוני לוגין של APT42 התמקדו בישראל בחודשים פברואר עד יולי 2024.
באפריל 2024, APT42 ניסתה לדייג מידע מאנשים בעלי קשרים לצבא ולתחום הביטחון הישראלי, וכן דיפלומטים, אקדמאים וארגונים לא ממשלתיים. שיטות הפעולה של הקבוצה כוללות אירוח תוכנות זדוניות על שרתים שונים, עמודי פישינג והפניות זדוניות (malicious redirects). התוקפים מנסים לנצל שירותים פופולריים כמו ג'ימייל או גוגל דרייב, Dropbox, OneDrive ואחרים. בתגובה לכך פעלה גוגל כנגד הקבוצה והשביתה חלק מהתשתיות ששימשו אותה למתקפות האלה. הדומיינים הוכנסו לרשימה שחורה, כך שמי שמנסה לגלוש אליהם מדפדפן רגיל – לא יצליח.
התוקפים אף הקימו מספר אתרים בשירות של גוגל (גוגל סייטס), בהם השתמשו בחלק מתקיפות הפישינג. חלק מהאתרים התחזו לעצומות שדורשות מממשלת ישראל לסיים את המלחמה, אולם הטקסט של העצומה הופיע כתמונה ולא כטקסט חי, ומשם ביצעו הפניה לאתרי פישינג.
נוסף על כך ניסו ההאקרים להשתמש בהנדסה חברתית כדי לטרגט בכירים לשעבר בצבא הישראלי ומנהל תעשיית תעופה, על ידי שליחת מיילים שהתחזו לעיתונאים המבקשים תגובה על תקיפות חיל האוויר האחרונות. הם גם שלחו מיילים של הנדסה חברתית לדיפלומטים ישראלים, אקדמאים, ארגונים לא ממשלתיים וישויות פוליטיות שונות. המיילים נשלחו מחשבונות שאוחסנו על ידי ספקי שירותי דוא"ל שונים ולא הכילו תוכן זדוני. מוערך שהמיילים היו רק תחילתו של המהלך המתוכנן לצבירת מידע. גוגל השעתה חשבונות Gmail מזוהים שהיו קשורים ל-APT42.
קמפיין נוסף, שהתרחש ביוני 2024, השתמש בקובץ PDF תמים המצורף למייל שהתחזה לפרויקט Project Aladdin הלגיטימי, וכלל קישור (URL) מקוצר שהפנה לדף פישינג שנועד לאסוף אישורי כניסה לחשבונות גוגל.
ההצלחה היחסית של הקבוצה באיסוף מידע ופרטי התחברות, נובעת מהתמדה והישענות משמעותית על הנדסה חברתית כדי להיראות כפניה לגיטימית ואמינה בעיני היעד. למשל, הם נוהגים ליצור חשבונות או דומיינים המתחזים לארגונים שעשויים לעניין את דמות המטרה. בדרך זו הם התחזו למכון וושינגטון למדיניות המזרח הקרוב, כשהם מכוונים את ניסיונות הפישינג לדיפלומטים ועיתונאים ישראלים, חוקרים במכוני מחקר בארה"ב ואחרים. בקמפיינים אלה, התוקפים הגדירו את שם התצוגה של המייל כחוקר לגיטימי המקושר למכון וושינגטון, אך כתובת המייל עצמה לא הייתה מהדומיין הרשמי עם הסיומת ORG.
APT42 אף רושמים דומיינים עם שמות דומים לדומיינים הלגיטימיים של הארגונים שהם מתחזים להם, עם טעויות קטנות שקל מאוד לא לשים לב אליהן. לדוגמה, הם רשמו את הדומיין brookings[.]email כדי להערים על מכון ברוקינגס והשתמשו בו בנסיונות דיוג מרובים שהתמקדו בישראל.
מתמקדים בבחירות לנשיאות ארה"ב
קבוצת ההאקרים פעילה גם בכל הקשור לבחירות לנשיאות בארה"ב – אם כי בנפח נמוך יחסית. במאי וביוני, המטרות של APT42 כללו את החשבונות האישיים של כתריסר אנשים הקשורים לנשיא ביידן ולנשיא לשעבר טראמפ, כולל פקידים שנמצאים בתפקיד כיום, וגם "לשעברים" בממשלת ארה"ב ואנשים הקשורים לקמפיינים הפוליטיים. גוגל חסמה ניסיונות רבים לחדור לחשבונות ג'ימייל של אותם אנשים.
נראה כי על אף המאמצים לחסום את פעילותם הזדונית APT42 הצליחו לפרוץ לחשבונות בקרב מספר ספקי שירותי דוא"ל. הקבוצה הצליחה לגשת לחשבון Gmail אישי של יועץ פוליטי בולט.
גוגל עדיין מזהה ניסיונות לא מוצלחים מצד APT42 לפרוץ לחשבונות האישיים של אנשים הקשורים לנשיא ביידן, סגנית הנשיא האריס והנשיא לשעבר טראמפ, כולל פקידי ממשלה נוכחיים ולשעבר ואנשים הקשורים לקמפיינים.
על פי גוגל, מדובר בקבוצה מתוחכמת בעלת יכולות נרחבות ולא נראה כי בכוונתם להפסיק את הניסיונות שלהם לטרגט משתמשים ולהפעיל טקטיקות חדשות. הם הראו יכולת להפעיל קמפיינים מרובים של פישינג בו זמנית אשר ממוקדים בעיקר בישראל ובארה"ב. ככל שהמתחים בין איראן לישראל יתגברו, הצפי הוא כי APT42 תגביר את פעילותה.
