קבוצת ההאקרים הפוליטית Moses Staff – "מטה משה" אשר בחסות ממשלת איראן, מוציאה לפועל מתקפות סייבר במטרה לבצע ריגול נגד מטרותיה, כחלק ממערך מתקפות המבדל באופן בלעדי ארגונים ישראלים. מתקפות הסייבר של Moses Staff האיראנית נצפו נגד ארגונים בישראל, איטליה, הודו, גרמניה, צ'ילה, טורקיה וארה"ב.
קיימות עדויות לכך שקבוצת האקרים זו משלבת הטמעת דלת אחורית לגישה מרחוק (RAT) בשם StrifeWater המתחזה לאפליקציית Windows Calculator כדי להתחמק מזיהוי. לפי אתר thehackernews.com, בדיקה מדוקדקת מגלה שהקבוצה פעילה למעלה משנה, הרבה יותר מוקדם מהחשיפה הפומבית הרשמית הראשונה שלה והיא מצליחה להישאר מתחת לרדאר חוקרי סייבר וחברות אבטחת סייבר. מתקפות סייבר של הקבוצה כוללות נתיב התקפה הממנף את הפגיעות של ProxyShell בשרתי Microsoft Exchange בתור וקטור זיהום ראשוני לפריסה ראשונית של הנוזקה ולאחר מכן הוצאת קבצי נתונים של Outlook (.PST) מהשרת שנפרץ. השלבים הבאים של שרשרת ההדבקה כוללים ניסיון לגנוב אישורי גישה (שמות משתמשים וסיסמאות) על ידי פריצה לתוכן הזיכרון של תהליך Windows הנקרא Local Security Authority Subsystem Service (Lsass.exe), לפני שחרור וטעינת הדלת האחורית StrifeWater (broker.exe). ההתקנה של ה- broker, המשמש לביצוע פקודות שנלקחו משרת מרוחק, הורדת קבצים והוצאת נתונים מרשתות יעד, מתאפשרת על ידי מטעין המתחזה לשירות עצירה מהירה של כוננים קשיחים המכונה DriveGuard (drvguard.exe). נוסף על כך, המטען אחראי גם על השקת מנגנון כלב שמירה (lic.dll) המבטיח שהשירות שלו לעולם לא יופסק על ידי הפעלה מחדש של ה- DriveGuard בכל פעם שהוא מופסק, כמו גם להבטיח שהמטעין מוגדר לפעול אוטומטית בהפעלת המערכת. הדלת האחורית של ה- broker, מצידה, מצוידת גם באמצעים למחוק את עצמה מהדיסק באמצעות פקודת CMD, לצלם צילומי מסך ולעדכן את הנוזקה כדי להחליף את המודול הנוכחי במערכת, בקובץ שהתקבל מהשרת המרוחק. StrifeWater בולטת גם בניסיונותיה לחמוק מאמצעי הגנה על ידי התחזות לאפליקציית Windows Calculator (calc.exe), כאשר חוקרי FortiGuard Labs גילו שתי דוגמאות ישנות יותר לכך כבר בסוף דצמבר 2020. הקבוצה בעלת מוטיבציה גבוהה, מסוגלת ומוכוונת לפגוע בישויות ישראליות, אמרו החוקרים והוסיפו כי בשלב זה, הם ממשיכים להיות תלויים ב- 1-day exploits לשלב החדירה הראשוני שלהם ולמרות שהתקיפות שזיהו בוצעו למטרות ריגול, אין זה שולל את האפשרות שהמפעילים יפנו בהמשך לאמצעים הרסניים.
היום פורסמה באתר YNET כתבה על ידי דניאל סלאמה וחיים גולדיטש בה נכתב: "קבוצת ההאקרים האיראנית "מטה משה" פרסמה היום בקבוצת טלגרם קטעי וידיאו הלקוחים לדבריה ממצלמות אבטחה ברחובות בישראל, כולל רגע פיצוץ המטען אתמול בתחנת האוטובוס בכניסה לירושלים". עוד נכתב בכתבה: "בשנה שעברה פרסמה הקבוצה מידע רב על ישראלים, כולל תמונות של שר הביטחון בני גנץ וקבצי מידע צה"ליים המכילים נתונים של מאות חיילים לכאורה ותלמידי מכינה. עוד פרסמו ההאקרים שורת הדלפות של מאגרי מידע עם פרטים של מאות אלפי ישראלים, שלטענתם נלקחו ממחשבי דואר ישראל ומשורה של חברות פרטיות".
