קבוצת MuddyWater האיראנית, הפועלת מטעם משרד המודיעין האיראני נחשבת לאחת מקבוצות הריגול הפעילות ביותר במזרח התיכון. הקמפיין כוון בעיקר לארגוני תשתית בישראל וליעד נוסף במצרים. על פי הממצאים, הקורבנות בישראל כללו חברות טכנולוגיה, גופים הנדסיים, מפעלי ייצור, רשויות מקומיות ומוסדות אקדמיים, מה שמעיד על מאמץ רוחבי לפגיעה במערכות חיוניות ובארגונים בעלי יכולות השפעה כלל מערכתית.
במסגרת החקירה זוהו כלים חדשים שלא תועדו בעבר, שנועדו לשפר את יכולת ההסוואה, איסוף המידע והשליטה של התוקפים במערכות שנפרצו. בין הכלים נמצאו דלת אחורית חדשה בשם MuddyViper. דלת אחורית במערכות מחשב היא רכיב תוכנה זדוני שתוקפים מתקינים לאחר שהם מצליחים לחדור למערכת. המטרה שלה היא לאפשר להם גישה שקטה ומתמשכת גם אחרי שהפריצה הראשונית התגלתה או נחסמה.
עוד נמצאו מספר גונבי סיסמאות מתקדמים וקובץ זדוני המקודד כך שיתחזה למשחק מחשב פשוט, במטרה לעכב את חשיפתו. ממצאים אלה מצביעים על יכולת גוברת מצד התוקפים לפעול לאורך זמן בתוך הארגון ולבצע איסוף נתונים משמעותי מבלי לעורר חשד.
שיטת התקיפה שנחשפה נשענה על הודעות דואר אלקטרוני ממוקדות שנראו לגמרי תמימות. ההודעות כללו קבצי PDF שהכילו קישור להורדת תוכנות שליטה מרחוק כביכול לצורכי תמיכה טכנית או עדכון. בפועל הורדו כלים זדוניים מאתרי אחסון חינמיים, והותקנו על ידי הקורבנות מבלי להבין שמדובר בחלק משרשרת תקיפה רחבה.
כאמור, הדלת האחורית שנחשפה מאפשרת לתוקפים לאסוף פרטים כלליים על המערכת, להריץ פקודות, להוריד ולהעלות קבצים ולגנוב פרטי התחברות מתוך דפדפני המשתמשים. יכולות אלה מספקות לתוקפים דריסת רגל יציבה בתוך הארגון לאורך זמן.
ממצאי החקירה העלו כי בחלק מהמקרים פעלה MuddyWater במקביל לקבוצה איראנית נוספת, מה שמעיד על תיאום בין מספר גורמי תקיפה ועל הרחבת פעילות במספר זירות בו זמנית. תופעה זו מחזקת את ההערכה שמדובר במערך תקיפה מדינתי.
מערך הסייבר הלאומי ממליץ לנקוט בפעולות הבאות כדי למנוע תקיפות: "הקפידו לעדכן את התוכנות, האפליקציות ומערכות ההפעלה, כך שיכללו את העדכונים הכי חדשים. הימנעו מפתיחת מיילים חשודים: וודאו שאתם מכירים את השולח או שהוא אכן אמין ואינו מזוייף ככל שתדעו. הימנעו מפתיחת קבצים מצורפים מגורם שאיננו מוכר, כמו גם לחיצה על קישורים במייל שעלולים להפנות לאתר מתחזה או זדוני".
"אל תמסרו מידע שלכם בקלות, בטח לא פרטי חשבונות בנק וכרטיסי אשראי. השתמשו בסיסמאות חזקות, והקפידו שלכל שירות תהיה סיסמה ייעודית לו. הימנעו מהקלקות על פרסומות שנראות חשודות, כמו מוצר נחשק במחיר מפתיע או זכייה בפרס כספי. המודעה יכולה לשמש כפלטפורמה לדיוג (פישינג) ובלחיצה על המודעה להוביל למשל לאתר מתחזה שנועד לדלות את פרטי הכניסה לחשבון. אל תלחצו על קישורים הנשלחים אליכם בוואטספ או בפייסבוק. גם אם הם נשלחו ע"י חברים ניתן לוודא מולם שהם אכן שלחו את הקישור".
"השתמשו באימות דו שלב (סיסמה בשילוב קוד שנשלח בהודעת SMS) שיחזק את ההגנה על המייל או רשתות החברתיות".
התרעות פיקוד העורף