לפני יותר מחצי שנה, פרצו האקרים האירנים לתיבת מייל של אלוף בכיר במילואים ששימש בתפקיד רגיש, התחזו אליו והתכתבו בשמו עם גורמים בכירים במטרה לגרום להם לפתוח מסמכים שונים, ובהם שרת החוץ לשעבר ציפי לבני. כך מפרסמת היום (ג') חברת צ'ק פוינט.
-
עוד באותו נושאשימו לב: האקרים איראנים יתקפו אתרים ישראלים בסוף השבוע הקרוב וזאת הסיבה
24/04/22 16:18
בין המעורבים במתקפה הזו: שגריר ארצות הברית בישראל לשעבר, ראש מכון מחקר מרכזי, אקדמאי בכיר העוסק בנושאי המזרח התיכון, סמנכ"ל בחברה ביטחונית מרכזית ועוד. צ'ק פוינט עדכנה את כלל המטרות של התקיפות הללו, וכן את גורמי הביטחון בישראל בפרטים.
ציפי לבני, בין המטרות של התקפות הסייבר צילום: Tomer Neuberg/FLASH90
על פי החקירה שעשו בחברת צ'ק פוינט, החל מדצמבר 2021 ועד לשבוע שעבר, ניהלו תוקפים איראנים תכתובות מייל עם גורמים בכירים בישראל לאחר פריצה למספר מיילים והתחזות לאותם הגורמים. התכתובות כללו שליחת מסמכים, הזמנה לכנסים בחו"ל ומאמרים בנושא תכנית הגרעין האירנית – ואלו דרשו מהנמענים להקליד את סיסמת המייל שלהם.
בכיר בחברה ביטחונית שלח צילום של הדרכון לאיראנים
במהלך חודש דצמבר קיבלה שרת החוץ לשעבר ציפי לבני מספר מיילים בעברית מאותו אלוף במילואים, ובהם בקשה לקרוא מאמר שכתב על אירועים ביטחוניים באותה השנה. לאחר מספר מיילים בהם הפציר בלבני לפתוח את הקובץ באמצעות סיסמת המייל שלה, לבני פנתה לאותו אלוף במילואים דרך הטלפון הנייד וזה לא הבין במה מדובר. לבני העבירה לצ'ק פוינט את תכתובת המיילים, וממנה הצליחה החברה להתחקות אחר השולחים והקבצים וגילו עד כמה נרחב היה המהלך.
באותם החודשים ועד לשבוע שעבר, התוקפים האירנים הצליחו לשים את ידם על תכתובת מייל פרטית בין ראש מכון מחקר מרכזי מאד בישראל ושגריר ארה"ב לשעבר בישראל, וניצלו אותה ליצירת המשך התכתבות במהלכה הם התחזו לשגריר תוך שימוש במייל אחר. כאן הם שלחו לראש המכון קבצים העוסקים לכאורה בתכנית הגרעין האירנית.
אחד מההודעות שנשלחו לציפי לבני צילום: צ'ק פוינט
ההאקרים הגיעו למנהל בכיר בחברה ביטחונית בכירה בישראל וניסו לגנוב פרטים אישיים אודותיו. על מנת לעשות זאת הם השתמשו בפלטפורמה לגיטימית שאליה ניתן להעלות צילומי מסמכים. במקרה זה אותו מנהל העביר לתוקפים את צילום הדרכון שלו. במסגרת המהלך התחזו התוקפים גם לפרופ' מוכר בתחום המזרח התיכון ודרכו שלחו מסמכים נוספים הקשורים באירן.
במהלך החקירה התבררה התשתית של ההאקרים להשגת מספרי הטלפון של הקורבנות, כביכול כחלק מתהליך פתיחת המסמכים. השיטה בצורה הבאה: תחילה, לאחר לחיצה על המסמך המצורף למייל או לינק במייל, יקפוץ דף המבקש להכניס סיסמא זיהוי לחשבון המשתמש (סיסמא שעתידה להיות מועתקת על ידי התוקפים). לאחר מכן תופיע בקשה לאימות נוסף של המשתמש בצורת קוד SMS שישלח למכשיר המקושר לחשבון המייל. יש לציין שמס' הטלפון בתוך דף ההתחזות הותאם במיוחד עבוד יעד התקיפה – מספר הטלפון שלו.