חוקרי חברת אבטחת המידע ESET ניתחו קבוצה הולכת וגדלה של נוזקות הורדה מסדרת OilRig, בהן הקבוצה השתמשה כחלק ממספר קמפיינים במהלך 2022 כדי להשיג גישה לארגוני מטרה מעניינים במיוחד, כשכולם ממוקמים בישראל. בין הארגונים המותקפים בישראל ניתן למנות ארגון בתחום הבריאות, חברה יצרנית וארגון ממשלתי מקומי.
OilRig היא קבוצת תקיפה שבסיסה על פי ההערכות הוא באיראן, ומטרת פעולותיה, כפי שניתן לראות בנוזקות ההורדה האחרונות, היא ריגול סייבר. OilRig השתמשה בנוזקות ההורדה האלה מול מספר מוגבל של מטרות, ועל פי נתוני הטלמטריה של ESET, כולן הותקפו בחודשים הקודמים למתקפה באופן מתמשך ע"י כלים אחרים של OilRig.
מכיוון שארגונים רבים ניגשים למשאבים של אופיס365, נוזקות ההורדה של OilRig, שמופעלות ע"י שירותים מבוססי-ענן יכולות להשתלב בקלות רבה יותר בתעבורת הרשת הרגילה, וזו ככל הנראה הסיבה לכך שהתוקפים בחרו להפעיל את נוזקות ההורדה האלה בקבוצה קטנה של מטרות שמעוררות עניין רב וכבר הותקפו בעבר.
נוזקות ההורדה החדשות - SampleCheck5000 (SC5K בגרסאות 1-3), OilCheck, ODAgent ו-OilBooster - נבדלות מנוזקות אחרות בכך שהן משתמשות בשירותי אחסון ודוא"ל מבוססי-ענן לגיטימיים עבור תקשורת שליטה ובקרה והדלפת נתונים, ביניהם: Microsoft Graph OneDrive API, Microsoft Graph Outlook API, ו-Microsoft Office EWS API.
"בהתאם ליתר מערך הכלים של OilRig, נוזקות ההורדה האלה אינן מתוחכמות במיוחד. עם זאת, הפיתוח והבדיקות המתמשכים של וריאנטים חדשים, הבחינה של שירותי ענן שונים ושל שפות תכנות שונות, והמחויבות לפגיעה באותן המטרות פעם אחר פעם, הופכים את OilRig לקבוצה שכדאי לעקוב אחריה, מסבירה זוזאנה הרומקובה, חוקרת ESET שניתחה את הנוזקה יחד עם אדם בורגר, חוקר נוסף של ESET.
ESET משייכת את SC5K (גרסאות 1-3), OilCheck, ODAgent ו-OilBooster לקבוצת OilRig ברמת ביטחון גבוהה. נוזקות ההורדה האלה דומות במובנים מסוימים לדלתות האחוריות MrPerfectionManager ו-PowerExchange - תוספות חדשות למערך הכלים של OilRig, המנצלות פרוטוקולי שליטה ובקרה מבוססי דוא"ל, כשההבדל הוא בכך ש-SC5K, OilBooster, ODAgent ו-OilCheck משתמשות בחשבונות שירותי ענן שנמצאים בשליטת התוקף במקום בתשתית הפנימית של הקורבן.
נוזקת ההורדה ODAgent זוהתה ברשת של חברה יצרנית בישראל - באופן מעניין, אותו הארגון הותקף בעבר ע"י נוזקת ההורדה SC5K של OilRig, ולאחר מכן ע"י נוזקת הורדה חדשה, OilCheck, בין אפריל ליוני 2022. ל-SC5K ול-OilCheck יש יכולות דומות לאלו של ODAgent, אך הן משתמשות בשירותי דוא"ל מבוססי-ענן עבור תקשורת השליטה והבקרה שלהן.
במהלך 2022, חברת ESET זיהתה תבנית דומה שחוזרת על עצמה במספר מקרים, כשנוזקות הורדה חדשות הופצו ברשתות של מטרות עבר של קבוצת OilRig: לדוגמה, בין יוני לאוגוסט 2022, ESET זיהתה את נוזקות ההורדה OilBooster, SC5K גרסה 1 ו-SC5K גרסה 2, יחד עם הדלת האחורית Shark, כשכולם זוהו ברשת של ארגון ממשלתי מקומי בישראל. לאחר מכן, ESET זיהתה גרסה אחרת של SC5K (גרסה 3) ברשת של ארגון בריאות ישראלי, שגם הוא הותקף בעבר ע"י OilRig.
OilRig, המוכרת גם בשמות APT34, Lyceum, Crambus או Siamesekitten, היא קבוצת ריגול סייבר שפועלת החל משנת 2014 לפחות וממוקמת לפי ההשערות באיראן. הקבוצה תוקפת ממשלות שונות במזרח התיכון ועסקים מתחומים שונים, ביניהם תעשיות כימיות, אנרגיה, גופים כספיים וחברות תקשורת.