איראן תקפה בסייבר חברת פארמה שמפתחת טיפול בקורונה

קבוצת האקרים איראנית תקפה בסוף השבוע בסייבר את גיליאד, חברת תרופות אמריקנית שעוסקת בימים אלה בפיתוח טיפול בנגיף הקורונה – כך חשפה קלירסקיי הישראלית.

לפני ימים אחדים, מנהל המזון והתרופות האמריקני (ה-FDA) העניק אישור חירום זמני לגילאד להשתמש בתרופה שלה, רמדסיוויר, לטיפול בקורונה. נשיא ארצות הברית, דונלד טראמפ, הודיע על כך במשרדו, כשנפגש עם דניאל או'דאיי, מנכ"ל החברה.

חקירת התקיפה העלתה כי בכמה מקרים, ההאקרים התחזו לעיתונאים ושלחו מיילים לעובדי גיליאד, שמטרתם להביא לכך שהם יחשפו את הסיסמאות שלהם. במקרה אחר, בכיר בחברה קיבל מייל ובו דף כניסה מזויף לאתר. טרם הוברר אם המתקפה הצליחה.

בועז דולב, מייסד ומנכ"ל קלירסקיי, אמר לאנשים ומחשבים כי "להערכתנו, בשל ההתפרצות הרחבה של מגפת הקורונה באיראן, מערך הסייבר האיראני נרתם למאמץ להשיג מידע ואולי דרכי טיפול בקורונה, שיסייעו לאזרחי המדינה. במסגרת זו, אנשיו ניסו לפרוץ לחשבונות מייל של עובדי ארגון הבריאות העולמי, לחוקרים באקדמיה העוסקים במחקר של הנגיף ולחברות המפתחות תרופות נגד הנגיף".

בועז דולב, מנכ"ל קלירסקיי. צילום: ניב קנטור

עלירזה מיריוספי, דובר המשלחת האיראנית לאו"ם, הכחיש את מעורבות ארצו במתקפה ואמר כי "איראן לא קשורה למתקפות סייבר. פעילויות הסייבר של איראן נעשות במישור ההגנתי בלבד ומטרתן הגנה על תשתיות המדינה".

גיליאד סירבה להתייחס לדיווח ומסרה כי איננה נוהגת לדון בענייני אבטחת מידע.

מתקפות חנית-דיוג נגד ארגוני בריאות

מומחי אבטחה ציינו שמדובר בקבוצת תקיפה איראנית, שעונה לשם החתלתול המקסים (Charming Kitten). שמה של הקבוצה ככזו שעוסקת מתקפות סייבר עלה באוקטובר האחרון, כשמיקרוסופט הודיעה ש-"בפעם הראשונה, החתלתול המקסים, קבוצת APT איראנית, ממלאת תפקיד בתחום מתקפות הסייבר, לשם הפרעה להליכים דמוקרטיים". שמה השני של הקבוצה הוא Phosphorus ( שפירושו זרחן), והיא ניסתה לתקוף חשבונות מייל של פעילים בבחירות לנשיאות ארצות הברית, כמו גם פקידי ממשל אמריקניים, בהווה ובעבר, עיתונאים המסקרים פוליטיקה עולמית וגולים איראניים בולטים.

"מתקפות חנית-דיוג (Spear-phishing) אלה", כתבו אז חוקרי קלירסקיי, "נערכו על ידי החתלתול המקסים – כך אנחנו מעריכים ברמה בינונית-גבוהה של סבירות". במחקר שהם ערכו אז, זיהו החוקרים מתקפת חנית-דיוג באמצעות הודעות SMS, שבהן ההאקרים אספו את מספרי הטלפון של הקורבנות הרלוונטיים. גם מיקרוסופט מצאה אז שהקבוצה אוספת מספרי טלפון של הקורבנות, לטובת שחזור סיסמאות ואימות דו-גורמי, לכאורה. זאת, כדי להשיג שליטה על חשבונות הדואר האלקטרוני שלהם. במהלך המחקר שלהם, חוקרי קלירסקיי חשפו ארבע שיטות חנית-דיוג חדשות המשמשות את קבוצת ההאקרים האיראנית.

בשבוע שעבר התריעו ארצות הברית ובריטניה על קבוצות האקרים שלוחות מדינות, שתוקפות חברות וארגוני רפואה שנמצאים בחזית המאבק בנגיף ובפיתוח טיפולים עבור החולים בו. אף שגיליאד לא אוזכרה, מקורות הבקיאים בתחום אמרו לסוכנות רויטרס כי היא הייתה אחת ממטרות התקיפה.

מומחים ציינו שאיראן היא "כוכבת בסייבר" בשל יכולות אנשיה בתחום, והיא ניצבת בשורה הראשונה בתחום, לצד רוסיה, סין, צפון קוריאה, ארצות הברית, בריטניה וישראל.

יצוין כי גיליאד היא לא החברה המותקפת היחידה מעולם הבריאות. לפני כמה שבועות דווח כי היקף מתקפות הסייבר של האקרים נגד ארגון הבריאות העולמי יותר מהוכפל בשבועות שלפני כן – בעיצומה של התפשטות המגפה. חוקרי אבטחה מקספרסקי ציינו כי תשתית התקיפה של הארגון שימשה גם האקרים שתקפו בתי חולים וארגוני בריאות שמעורבים במאמץ העולמי למציאת תרופה לקורונה.