גוגל: האקרים שנשלחו על ידי השלטון האיראני פרצו לחשבונות ג'ימייל
ההאקרים, חברי קבוצת Charming Kitten, גנבו מידע ממשתמשים באיראן עצמה ● הם פיתחו כלי לא מתוחכם, אבל אפקטיבי ● לפי חוקרי גוגל, הם יכולים לחדור גם לחשבונות אאוטלוק ויאהו
קבוצת Charming Kitten מכה שוב: דיווח של קבוצת המחקר של גוגל מעלה כי ההאקרים האיראנים, שלוחי המשטר בטהרן, פיתחו כלי חדש ובאמצעותו פרצו ל-"מספר קטן" של חשבונות ג'ימייל, שירות הדואר של החברה. על פי גוגל, מדובר בחשבונות של איראנים, וההאקרים פרצו אליהם למטרות ריגול.
בדיווח שפרסמו אתמול (ג') ציינו חוקרי החברה שאותם חתלתולים "מקסימים" – שאינם מקסימים כלל – פרצו באמצעות הכלי החדש, שמכונה HYPERSCRAPE, ל-"פחות משני תריסר" חשבונות ג'ימייל באיראן וגנבו מהם מידע. כמו כן, לדבריהם, הכלי שימש לגניבת מידע מחשבונות אאוטלוק ודואר יאהו.
על פי החוקר אלכס באש מקבוצת המחקר של גוגל, שכתב את הסקירה, הפעילות הראשונה של HYPERSCRAPE שהחוקרים איתרו היא מדצמבר אשתקד, אם כי חקירה מעמיקה יותר שלהם מצאה שהקבוצה האיראנית השתמשה בכלי הזה גם לפני כן.
איך זה עובד?
לא מדובר בכלי מתוחכם במיוחד, אבל הוא בהחלט אפקטיבי. כך הוא עובד:
החוקרים מצאו שההאקרים פרצו לפרטי החשבונות של המשתמשים באמצעות AGENTS מזויפים, או כאלה שהם רכשו. הכלי משתמש בטכניקות של זיוף, על מנת להיראות כגרסה מיושנת ולא מעודכנת של הדפדפן, כך שחשבון הג'ימייל מוצג בתצוגת HTML. אחרי שהוא מצליח לחדור לחשבון, HYPERSCRAPE משנה את הגדרת השפה בחשבון לאנגלית, מוריד הודעות כקבצי eml. ומסמן אותן כלא נקראו. אחרי שהכלי מסיים להוריד את כל ההודעות שיש בחשבון לשימושם של ההאקרים, הוא מחזיר את הגדרת השפה לשפה המקורית שהמשתמש בחר בה להצגת ההודעות, ומוחק כל אימייל שנשלח מטעם גוגל וכולל התרעת אבטחה. כלומר, הכלי מוחק עקבות, והקורבן לא יכול לדעת שחשבונו נפרץ. כשהכלי "רץ", הוא מתקשר עם שרת שמאפשר לתת פקודות ולשלוט (C2), כדי לקבל אישור להתחיל בתהליך ההסתננות.
HYPERSCRAPE נכתב בדוט.נט והוא מיועד למחשבי Windows. החוקרים ציינו כי הם בחנו אותו בסביבה נשלטת, עם חשבון ג'ימייל שנוצר לשם הבדיקה. עם זאת, לדבריהם, ייתכן שבחשבונות מיקרוסופט ויאהו, ההשפעה של הכלי היא אחרת. בכל מקרה, נכתב, הפעולה של הכלי תלויה בקיומה של ספריה ובה קבצים נוספים.
לדברי באש, גרסאות מסוימות של הכלי אפשרו להוריד את כל המידע של בעל החשבון באמצעות Google Takeout – פיצ'ר שמאפשר למשתמש להעביר הודעות ג'ימייל לארכוב ברשת.
בגוגל מעודדים משתמשים בסיכון גבוה להצטרף ל-"תוכנית ההגנה המתקדמת" (APP) של החברה ולהשתמש בכלי הגלישה הבטוחה שלה.
הפעילות הבולטת האחרונה של קבוצת Charming Kitten אותרה בדצמבר האחרון על ידי מיקרוסופט, שזיהתה שחבריה ניצלו את החולשה המפורסמת Logs4j, שתקפה ארגונים רבים, ובכלל זה גופי ממשל בארצות הברית וארגונים ישראליים.
מעט ככ חשבונות נפרצו ומיקרוסופט תדאג לפריצה, גוגל תדאג למשתמש. וזה הבדל תהומי ולכן אחת עם תיבת הודעות הכי פופולרית והשניה לא. ואותם אירנים, אני לא מנסה לחשוב למה ומי הם וכו'. גוגל "למדה" מזה, אני מניחה, הרבה וזה מה שחשוב. ושהיא לא היחידה. כמות הפריצות, זה לא מתאים לגוף אירני שחודר לפרטיות, ובכך אמרתי הכול, להסתפק במספר זעום ככ. אבל אם יש משהו אפל ומסוכן לאירנים, זה הממשל וכל מוסדות הציבור במדינה הזאת. אני מאמינה אגב לגוגל. אבל אם יש מקום לא לחשוף מידע, זה בסיפור הזה. הציבור האירני שונה ככ מאירן, אני שמחה שגוגל עלו על זה ולא צריכה לדעת מעבר. זה מצמרר.