Charming Kitten

Charming Kitten (בתרגום חופשי: החתלתולים המקסימים) הינה קבוצת תקיפה אשר פועלת, ע"פ ההערכות, בשליחות הממשל האיראני. קבוצה זו מתמקדת לרוב בגניבת מידע פוליטי וביטחוני מגורמי ממשל ואנשי צבא בעבר ובהווה ובין מטרותיה הוא להשיג מידע על משתפי-פעולה איראנים ברחבי העולם, כאשר שיטות התקיפה המרכזיות שלה מבוססות בעיקר על Phising והנדסה חברתית. קבוצה זו מוכרת גם בשמות נוספים כגון APT35, Phosphorus ועוד.

עיקר המיקוד של קבוצת התקיפה הינו ביעדים ישראלים ואמריקנים והקמפיין המרכזי הראשון שמיוחס להן, נחשף בדצמבר 2017, אז חשפה חברת הסייבר הישראלית ClearSky ניסיון של קבוצת התקיפה לדלות מידע מכעשרות חוקרים ועיתונאים ישראלים. במסגרת התקיפה, פנתה הקבוצה לשורה ארוכה של חוקרים ועיתונאי ביטחון ישראלים כגון המומחית לענייני איראן תמר עילם גינדין, העיתונאי ערן סיקורל ואחרים, כאשר התוקפים מתחזים לחוקרי אבטחה ועיתונאים מרחבי העולם ומבקשים מ"עמיתיהם הישראלים" את חוות דעתם על מאמרים שכתבו בנושאי איראן והמזרח התיכון. ע"מ להיכנס לקבצים היו המותקפים נדרשים להזין את סיסמת הדוא"ל שלהם במה שהיה נראה כדף ההתחברות הסטנדרטי של Outlook אליו מופנים המשתמשים מפעם לפעם לפני כניסה לקבצים, אך בפועל היה מדובר בדף Phising שהעביר את הסיסמא למייל לידי התוקפים, שיכלו לאחר מכן להיכנס לאותן חשבונות מייל ולחשוף מידע רגיש על גורמים איראנים ומוסלמים שהדליפו מידע לידי החוקרים והעיתונאים (אגב, במקרה של פריצה לחשבונות, יצרו התוקפים Phising מתגלגל וביצעו את המתקפות מהחשבונות שנפרצו, מה שבמקרים רבים הגביר את האמינות של המקור, שכן היה מדובר במייל שהנתקפים הכירו כמייל לגיטימי של עמית).

ע"מ להגביר את אמינותה, מקפידה הקבוצה, במקרים רבים, לטפח חשבונות ברשתות החברתיות לדמויות אליהם מתחזים התוקפים ובין היתר, פותח על ידה אתר חדשות המתחזה ללגיטימי בשם "The British News" ובו עלו חדשות אמתיות מרחבי העולם, כאשר נעשה ניסיון להחדיר נוזקות למחשבי הגולשים באתר, שבמקרים רבים, הופנו אליו בעזרת הודעות הPhising. אגב, התמקדותה של ClearSky בCharming Kitten לא נעלם מעיני הקבוצה ובדצמבר 2018 היא ניסתה להתחזות לחברת הסייבר הישראלית בעזרת העתקת האתר של החברה ופנייה לעמיתים, כביכול בשם החברה, במטרה לגנוב מידע.

ב-4 באוקטובר 2019, זוהה ע"י Microsoft, ניסיון של קבוצת התקיפה להשפיע על הבחירות לנשיאות ארה"ב שנערכו בנובמבר שנה לאחר מכן. גם במקרה הזה התמקדה התקיפה בפעילים פוליטיים, עיתונאים המסקרים פוליטיקה בינלאומית ופעילים איראנים שעזבו את המדינה, תוך שימוש בכלי הPhising המזוהה עם הקבוצה: הפנייה לדף התחברות מחדש למייל, כאשר מדובר בפועל בדף Phising שמעביר את המידע לתוקפים. קודם-לכן, במחצית השנייה של 2018, זוהו ניסיונות של קבוצת התקיפה לחדור למיילים של בכירים במשרד האוצר האמריקני, ככל הנראה במטרה לדלות מידע על האסטרטגיה של ממשל טראמפ בנוגע לגרעין האיראני ולסנקציות כלפי איראן.

במאי 2020 יוחס לקבוצה ניסיון תקיפה של יצרנית התרופות האמריקנית גיליאד, שהייתה בזמנו יצרנית התרופות היחידה שתרופה מתוצרתה קיבלה אישור אמריקני לשימוש ניסיוני עבור חולי קורונה. ניסיון התקיפה בוצע בעזרת שליחת דף התחברות מזויף לאחד מבכירי החברה, במטרה שיזין בו את סיסמת הדוא"ל שלו. בדרך זו תכננו התוקפים לפרוץ לחשבונות הדוא"ל של בכירי החברה ולהשיג מידע רגיש. ע"פ ClearSky זוהו ניסיונות נוספים של הקבוצה לתקוף מרכזי מחקר ישראלים ואמריקנים שעסקו בחקר נגיף הקורונה. כמו-כן, לקראת סוף 2020 זוהה ניסיון נוסף של החברה לגנוב מידע רפואי מאנשי מקצוע בישראל ובארצות הברית.

מאוחר יותר, בנובמבר 2020, נעשה ניסיון של קבוצת התקיפה לתקוף חוקרים של המכון הישראלי לחקר הביטחון 'עלמא'. גם כאן התקיפה נעשתה בעזרת Phising מתוחכם, כאשר לאחד מחוקרי המכון נשלח מייל מטעם המכון למחקרי ביטחון לאומי בישראל (הINSS) והעומד בראשו, האלוף וראש אמ"ן לשעבר עמוס ידלין, בבקשה לקבל את חוות דעתו של החוקר על מסמך שחיבר המכון ועסק במצב הפוליטי בלבנון. במייל ביקשו התוקפים (שכאמור, התחזו למזכירתו של ידלין) את מספר הטלפון של החוקר, לשם העבירו (ממספר ישראלי) את הדו"ח המדובר, כאשר בתמונת הפרופיל של המספר התנוססה תמונתו של ידלין. בדומה לאופי המתקפה ב2017, גם כאן, ע"מ להיכנס לדו"ח היה על החוקר להיכנס קודם לכן לחשבון הדוא"ל שלו, כאשר בפועל היה מדובר בדף phising שהעביר את הסיסמא לידי התוקפים. אגב, הדו"ח נשלח ע"י התוקפים שעות לפני פרסומו המקורי ע"י המכון, מה שמעלה את האפשרות שנעשתה קודם לכן פריצה לאחד מחוקרי המכון, ממנו נגנב המסמך. לטענת 'עלמא', זהו הניסיון הרביעי שהם מזהים לחדור למכון ולגנוב ממנו מידע רגיש, לאחר ניסיונות דומים שנעשו קודם לכן בעזרת התחזות לגורמי ביטחון אמריקנים וסעודים.

מעט קודם לכן, באוגוסט 2020, זוהתה מתקפה ממוקדת ורחבה של הקבוצה, שוב כלפי יעדים ישראלים ושוב באותן טכניקות. במקרה הזה התחזו התוקפים לעיתונאים לגיטימיים, דוברי פרסית (וכך קיוו שפערי השפה לא יעלו חשד), ברשת התקשורת הגרמנית דויטשה ולה ובכתב העת היהודי-גרמני Jewish Journal ופנו לחוקרים בארה"ב ובאוניברסיטאות חיפה ותל אביב בישראל. גם כאן, במטרה לגנוב את פרטי החשבונות שלהן. במטרה ליצור תחושה של אמינות, יצרו התוקפים גם חשבונות לינקדאין לדמויות אליהן התחזו, רכשו מספרי טלפון בעלי קידומת גרמנית, כאשר בתמונת הפרופיל של חשבונות הwhatsapp באותן מספרים הוצגה תמונותו של העיתונאי אליו הן התחזו (בהתאמה) וכן יצרו Phising ממוקד וספציפי לכל יעד בנפרד.

Related Post