בזמן המלחמה: כך ניסתה איראן לאתר מתנגדים לשלטון, גם מחוץ לגבולותיה
בזמן שהעולם עקב אחרי קרבות במזרח התיכון, באיראן נפתחה חזית חשאית: רוגלה חדשה ניסתה לאתר עיתונאים ומתנגדים למשטר תוך התחזות לאפליקציית VPN ולשירות Starlink של אילון מאסק
תמונה: dreamstime
בעוד העולם עקב בדאגה אחרי מלחמת שניים עשר הימים בין ישראל לאיראן, הרחק מהעין ועמוק בתוך הזירה הדיגיטלית נפתחה חזית שקטה, אך כזו שיכלה להביא לאיראנים לא מעט מידע מודיעיני חשוב. החל ב-23 ביוני, ימים ספורים לפני הפסקת האש, חוקרי אבטחה חשפו ארבע גרסאות חדשות של רוגלת אנדרואיד שמיוחסת למודיעין האיראני, שמסתתרת מאחורי אפליקציות VPN ומנטרת הודעות וואטסאפ, הקלטות קול, קבצים אישיים ועוד. היעד: מתנגדי משטר, עיתונאים ופעילים, בכל מקום שממנו הם פועלים.
החוקרים מחברת Lookout זיהו את ארבע הדגימות החדשות של נוזקת DCHSpy, שהוסוו כאפליקציות VPN בשם Earth VPN ו-Comodo VPN. שתי דגימות הועלו לשירות VirusTotal, כשאחת מהן כללה את המילה "Starlink" בשם הקובץ – רמז לכך שהתוקפים מנסים לפתות משתמשים להוריד את הנוזקה תוך שימוש בשם השירות הלווייני של SpaceX. אחד מחוקרי המודיעין בחברה הסביר שמדובר בניסיון לנצל את המהלך של אילון מאסק, שהעניק גישה ל-Starlink באיראן לאחר שהממשלה האיראנית ניתקה את האינטרנט בעקבות תקיפת חיל האוויר.
את יתר הדגימות, הדגיש החוקר, הם מצאו תוך כדי תנועה. לדבריו, הדגימות האחרונות – שנמצאו לאחר מה שהגדיר כ"מסע ציד" אחריהן – מעידות על המשך הפיתוח והשימוש בתוכנת הריגול, במיוחד על רקע הדיכוי של אזרחים באיראן לאחר הפסקת האש עם ישראל.
סייבר בשירות המדינה
Lookout מייחסת את DCHSpy לקבוצת MuddyWater, המופעלת על ידי משרד המודיעין האיראני. הקבוצה הוגדרה כגוף מסוכן על ידי ממשלת ארצות הברית לפני כשלוש שנים, בעקבות מתקפות סייבר נגד אלבניה ופעילות דיגיטלית עוינת כלפי ארה"ב ובעלות בריתה. הקבוצה פועלת באופן מסורתי נגד גופים ממשלתיים ופרטיים בתחומי התקשורת, רשויות מקומיות, ביטחון, ונפט וגז באזורים כמו המזרח התיכון, אסיה, אפריקה, אירופה וצפון אמריקה.
למרות שהחוקרים לא יודעים במדויק את קהל היעד של הרוגלה – בין היתר בגלל מגבלות בטלמטריה מתוך איראן – אחת מהגרסאות של Comodo VPN הופצה בטלגרם עם פרסום באנגלית לפיו "השירות משמש פעילים ועיתונאים ברחבי העולם". לטענת החוקרים, יישומי VPN הם פיתיון פופולרי באיראן בעיקר אופי השלטון במדינה. החוקרים אינם יודעים כמה קורבנות נדבקו עד כה, אך מציינים שמאז 2021 אותרו רק 11 דגימות של DCHSpy, כך שזיהוי ארבע נוספות בשבוע אחד מהווה חריגה מהשגרה.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
מלבד ערוץ טלגרם ששימש להפצת הרוגלה, מעריכים החוקרים שהקבוצה עשויה גם להשתמש בפישינג באמצעות הודעות טקסט או אפליקציות מסרים כדי להדביק את הקורבנות. נוסף על יכולות הקיימות של DCHSpy – כמו איסוף אנשי קשר, הודעות SMS, מיקומים, יומני שיחות, תמונות והקלטות קול – הגרסאות האחרונות כוללות גם גישה לנתוני וואטסאפ וחיפוש אחר קבצים ותיקיות רגישים על גבי המכשיר. לאחר איסוף המידע מהמכשיר הנגוע, הרוגלה דוחסת ומצפינה את הקבצים באמצעות סיסמה שנשלחת משרת השליטה של התוקפים, ואז מעלה אותם לשרת SFTP שבשליטת התוקפים.
גם אם הקרבות בשטח הסתיימו, בזירת הסייבר נראה שאין הפסקת אש באופק. דוחות כמו זה של Lookout מזכירים עד כמה הריגול הדיגיטלי הפך לכלי שגרתי בארגז הכלים של מדינות, כזה שפועל בשקט, נעלם מעין הציבור ומספק למשטרים גישה ישירה לחיים הדיגיטליים של מי שמסומנים כאיום.
