חברת אבטחת הסייבר הישראלית צ'ק פוינט פרסמה הבוקר (שלישי) על מהלך תקיפה איראני כנגד גורמים בכירים בישראל, שהחלה בדצמבר 2021, ובהם שרת החוץ לשעבר ציפי לבני. כחלק מהמתקפה, פרצו ההאקרים לתיבת מייל של אלוף בכיר במילואים ששימש בתפקיד רגיש, התחזו אליו והתכתבו בשמו עם גורמים בכירים במטרה לגרום להם לפתוח מסמכים שונים. צ'ק פוינט עדכנה את גורמי הביטחון בישראל אודות המתקפה.
על פי המחקר, ניהלו תוקפים איראנים תכתובות מייל עם גורמים בכירים בישראל לאחר פריצה למספר כתובות מייל והתחזות לאותם הגורמים. התכתובות כללו שליחת מסמכים הכוללים הזמנה לכנס בחו"ל ומאמרים בנושא תכנית הגרעין האירנית - ואלו דרשו מהקורבנות להקליד את סיסמת המייל שלהם. באחד מהמקרים התכתובות הובילו מנהל בכיר באחת החברות הבטחוניות המרכזיות בישראל לשלוח את צילום הדרכון שלו.
במהלך חודש דצמבר קיבלה שרת החוץ לשעבר לבני מספר מיילים בעברית מאותו אלוף במילואים, ובהם בקשה לקרוא מאמר שכתב על אירועים בטחוניים בשנת 2021. לאחר מספר מיילים בהם הפציר בלבני לפתוח את הקובץ באמצעות ססמת המייל שלה, לבני פנתה לאותו אלוף במילואים שלא הבין במה מדובר.
"לבני העבירה אלינו את תכתובת המיילים, וממנה התחקנו אחר השולחים והקבצים וגילינו עד כמה רחב היה המהלך (פרסום שמה של לבני תואם איתה)", מסרו בחברת צ'ק פוינט. לדבריהם, באותם החודשים ועד לשבוע שעבר, התוקפים האיראנים הצליחו לשים את ידם על תכתובת מייל פרטית בין ראש מכון מחקר מרכזי מאד בישראל ושגריר ארה"ב לשעבר בישראל, וניצלו אותה ליצירת המשך התכתבות במהלכה הם התחזו לשגריר תוך שימוש במייל אחר.
"עוד ראינו שאותם תוקפים הגיעו למנהל בכיר בחברה בטחונית מרכזית בישראל וניסו לגנוב פרטים אישיים אודותיו. על מנת לעשות זאת הם השתמשו בפלטפורמה לגיטימית שאליה ניתן להעלות צילומי מסמכים. במקרה זה אותו מנהל אכן העביר לתוקפים את צילום הדרכון שלו", הוסיפו בצ'ק פוינט.
במסגרת המהלך התחזו התוקפים גם לפרופסור מוכר בתחום המזרח התיכון ודרכו שלחו מסמכים נוספים הקשורים באירן. עוד נמצא כי התוקפים הקימו תשתית להשגת מספרי הטלפון של הקורבנות, כביכול כחלק מתהליך פתיחת המסמכים. השיטה עבדה כך: תחילה, לאחר לחיצה על המסמך המצורף למייל או לינק במייל, יקפוץ דף המבקש להכניס סיסמה זיהוי לחשבון המשתמש (סיסמא שעתידה להיות מועתקת על ידי התוקפים).
לאחר מכן תופיע בקשה לאימות נוסף של המשתמש בצורת קוד SMS שישלח למכשיר המקושר לחשבון המייל. יש לציין שמספר הטלפון בתוך דף ההתחזות הותאם במיוחד עבוד יעד התקיפה - מספר הטלפון שלו.
בסה"כ, באותם החודשים, אותרו תקיפות כלפי הגורמים הבאים:
- אלוף במילואים אשר שימש בתפקיד בכיר ורגיש - המייל נפרץ והתחזו לו
- שרת החוץ לשעבר ציפי לבני - ניסו לגרום לה להקליד את ססמת המייל שלה על קובץ ייעודי שנשלח אליה ובו הזמנה לכנס בחו"ל
- ראש מכון מחקר מרכזי בישראל -הגיעו להתכתבות פרטית בינו ובין מי שכיהן כשגריר ארה"ב לשעבר בישראל, ועל בסיס אותה התכתבות התחזו לשגריר והעבירו מיילים נוספים לראש מכון המחקר במטרה לתקשר איתו ולהשיג, ככה"נ, מידע פרטי אודותיו
- שגריר ארה"ב לשעבר בישראל - התחזו לו דרך שימוש בהתכתבות קיימת עם ראש מכון המחקר והעבירו בדרך זו לינק שמטרתו גניבת מידע
- מנהל בכיר בחברה בטחונית מרכזית - ניסו לגנוב את פרטיו האישיים והצליחו להשיג את צילום הדרכון שלו
- פרופ' מוכר בתחום לימודי המזה"ת - התחזו לו במטרה להעביר מסמכים לגורמים שונים.