חוקרי אבטחת סייבר זיהו מתקפות סייבר בחשד לריגול איראני המכוון לתעשיות תעופה, חלל ותעשיות ביטחוניות ברחבי המזרח התיכון, כולל בישראל ובאיחוד האמירויות הערביות. חברת מודיעין האיומים Mandiant פרסמה השבוע דוח הקושר בין קבוצת הסייבר UNC1549 השייכת לחיל משמרות המהפכה האיראני, לסדרה של מתקפות סייבר מתואמות נגד גופים במזרח התיכון המזוהים עם מגזרי התעופה, החלל וההגנה.
אופיר רוזמן – חוקר בכיר בחברת Mandiant ומחבר שותף של הדו"ח, אמר ל- Information Security Media Group כי האקרים השתמשו בפתיונות כדי לקבל גישה ראשונית למערכות מחשוב. הם השתמשו בעיקר בתשתית הענן של Microsoft Azure כדי לתקשר עם הדלתות האחוריות שלהם שכבר פרסו בעבר – טכניקה המשמשת כדי להתחמק מזיהוי. "האקרים המזוהים עם טהרן פועלים בתחכום ומנהלים ריגול סייבר מותאם באמצעות מתקפות סייבר הרסניות", אמר רוזמן והדגיש כי נראה שהמטרה העיקרית של מתקפות סייבר אלו הינה ריגול, אך הן עשויות גם לתמוך בפעילויות אחרות כגון פעולות פריצה למערכות מחשוב והדלפת מידע, או הפעלת מתקפות לוחמה קינטית.
חוקרים סייבר אחרים דיווחו על קבוצת הפריצה האיראנית הידועה גם בשם TortoiseShell, Crimson Sandstorm ו- Imperial Kitten – כשהיא מתחפשת לחלק מתנועת "החזירו אותם הביתה עכשיו" – מאמץ בהנהגת ישראל הקורא להחזרת בני ערובה שנחטפו על ידי חמאס. האקרים השתמשו גם באתרים מזויפים לגיוס עובדים, בדוא"ל דיוג חנית והתכתבויות ברשתות החברתיות כדי לתמרן קורבנות להורדת נוזקות למערכות המחשוב שלהם. על פי דיווח זה, כיוונו ההאקרים לעובדים במגזרי התעופה והביטחון עם הצעות עבודה מזויפות לתפקידים הקשורים לטכנולוגיה וביטחון – במיוחד עבור אנשים העובדים עם הדמיה תרמית. ההאקרים התחמקו מגילוי באמצעות שורה של טכניקות, כולל שימוש בשרתים הממוקמים במדינות היעד ועל ידי שימוש לרעה בתשתית Microsoft Azure. מהדוח עולה גם כי האקרים איראנים משתמשים באירועי מלחמת ישראל-חמאס כדי לבצע מתקפות סייבר מתקדמות יותר ויותר וכל זאת, תוך כדי התחמקות מגילוי וזיהוי. "מסע מתקפות הסייבר לא היה פעיל נגד ישראל לפני אוגוסט 2023", אמר רוזמן והוסיף: "מאוגוסט 2023 צפינו במספר גרסאות של תוכנות זדוניות כמו גם תשתית נרחבת של מתקפות סייבר, מה שמצביע על האפשרות שפעילותם של אותם האקרים הפכה פורייה יותר מאז אותה תקופה".
איראן הפעילה בשנים האחרונות מערך מתקפות סייבר נגד מגזרים וארגונים קריטיים של תשתית ישראלית ונראה היה שהיא מקדמת את מתקפות הסייבר הללו לאחר שהחלה מלחמת ישראל-חמאס באוקטובר 2023. האקרים הקשורים למשמרות המהפכה נקשרו לשורת מתקפות סייבר נגד בקרי ניטור לחץ מתוצרת ישראל המשמשים במערכות מים בארה"ב. "ההערכה שלנו היא שמתקפות סייבר אלו מכוונות לארגונים בעלי פרופיל גבוה ומתעדפות איכות על פני כמות", אמר רוזמן ל- ISMG.