חברת מנדיאנט (Mandiant) של Google Cloud חשפה היום (רביעי) פעילות ריגול נרחבת מצד קבוצת סייבר החשודה כאיראנית. הקבוצה, המכונה UNC1549, קשורה ככל הנראה למשמרות המהפכה האיראניות ופועלת לפחות מאז יוני 2022.
הקמפיין מכוון בעיקר נגד גורמים במגזרי התעופה, החלל והביטחון במזרח התיכון, ובפרט בישראל ואיחוד האמירויות. ייתכן שהקבוצה תוקפת גם גורמים בטורקיה, הודו ואלבניה. המודיעין שנאסף על גופים אלה רלוונטי לאינטרסים האסטרטגיים של איראן, ועלול להיות מנוצל לצורכי ריגול וכן לפעולות קינטיות (התקפיות).
שימוש בתוכן הקשור לחמאס
במסגרת התקיפה נעשה שימוש בתוכן שמקושר באופן ישיר למלחמה עם חמאס. הקבוצה התחזתה לתנועת "Bring Them Home Now" שקוראת להשבת החטופים הישראלים משבי חמאס, והפיצה נוזקה בשם MINIBUS דרך אתר אינטרנט מזויף של התנועה.
בנוסף, בעת התקנת הנוזקה מוצג למשתמש תוכן מזויף (תמונה של מחאה להשבת החטופים) שנועד ליצור לגיטימיות בעיני המשתמש ולהסוות את הפעילות הזדונית. מלבד כך, הקבוצה משתמשת בהצעות עבודה מזויפות כדי להפיץ את הנוזקות שלה - בפרט בתחומי הביטחון והטכנולוגיה. כך לדוגמה הקבוצה השתמשה באתר שמתחזה לחברת בואינג (Boeing) כדי להפיץ את הנוזקה MINIBIKE, וגם כדי לגנוב סיסמאות באמצעות עמודי התחברות (login) מזויפים.
שיטות הסוואה
הקבוצה משתמשת במגוון שיטות להסוואת הפעילות שלה, כולל הנדסה חברתית - שליחת הודעות ומיילי פישינג והפצת אתרים מזויפים להורדת נוזקות. בנוסף, נעשה שימוש נרחב בתשתית ענן של מיקרוסופט (Azure), כאשר תקשורת מולם עשויה להיראות כמו פעילות לגיטימית. לפי גוגל, שימוש בתשתית שממוקמת בישראל ובאיחוד האמירויות (באותן המדינות של הארגונים שהקבוצה תוקפת) מקשה על זיהוי פעילות זדונית של הקבוצה מול אותם גופים.