В последние месяцы Национальный отдел кибербезопасности зафиксировал увеличение количества попыток Ирана нанести ущерб израильским организациям при помощи кибератак. Хакеры используют разнообразные методы для проникновения в израильские структуры, начиная от фишинговых писем с вредоносными ссылками до целевых предложений работы через LinkedIn.
Примеры таких атак включают предложения работы от имени компании «Рафаэль» с фальшивыми ссылками на загрузку документов, электронные письма якобы от Национального отдела кибербезопасности с просьбой установить обновления, а также приглашения на конференции с вредоносными ссылками. По словам Тома Александровича, руководителя отдела технологической защиты Национального отдела кибербезопасности, иранские кибератаки становятся все более сложными и направленными на конкретные цели.
С начала военных действий фиксируется резкий рост фишинговых кампаний против израильских организаций. Данные Национального отдела кибербезопасности показывают, что только за последние месяцы были запущены 15 различных атак, организованных иранскими хакерскими группами. Каждая из них направлялась на тысячи израильских компаний и учреждений. После первичного заражения компьютера злоумышленники стараются получить доступ к более глубоким уровням корпоративной сети и используют украденные данные для дальнейших атак.
Среди выявленных хакерских групп — «BlackShadow» и «MuddyWater». Эти группы, действующие от имени иранского режима, иногда работают на основе аутсорсинга через частные компании в Тегеране. Их цели варьируются от шпионажа и кражи данных до нанесения ущерба и влияния на общественное мнение.
Одним из недавних примеров стала кампания, нацеленная на исследователей, занимающихся Ближним Востоком. Им отправлялись письма с приглашением на конференции или Zoom-встречи. Письма выглядели достоверно, включали список реальных участников, что добавляло убедительности. Однако ссылки, приложенные к письмам, содержали вредоносное ПО, которое поражало компьютеры.
Еще одним примером стали предложения работы на LinkedIn от имени компании «Рафаэль». Соискателям предлагалось загрузить свое резюме по ссылке, которая открывала доступ к корпоративной сети злоумышленникам.
Кроме того, группа «MuddyWater» рассылала письма с предложением участвовать в международной туристической программе Израиля. Письма содержали ссылки, переход по которым заражал компьютеры вредоносными программами.
Атакующие все чаще используют собранные данные из открытых источников, чтобы создать персонализированные сообщения. Нередко они отправляют письма с реальных адресов взломанных организаций или их поставщиков. По словам Тома Александровича, язык таких писем становится все более профессиональным, что затрудняет их распознавание.
Национальный отдел кибербезопасности активно работает над устранением угроз: блокирует вредоносные ссылки, останавливает цепочки заражений, выпускает предупреждения и делится информацией о выявленных атаках. Организациям, подозревающим, что они подверглись атаке, рекомендуется немедленно сообщить об этом, проверить системы на наличие вредоносных файлов и убедиться, что с их почтовых адресов не отправлялись фальшивые письма.
Эти меры призваны минимизировать ущерб от атак и предотвратить дальнейшее проникновение хакеров в израильские организации.