חוקרי חברת אבטחת המידע ESET חושפים קמפיין נגד מטרות ישראליות של קבוצת התקיפה Ballistic Bobcat המזוהה עם איראן, המשתמשת בדלת אחורית חדשה, אותה ESET כינתה בשם Sponsor.
קבוצת Ballistic Bobcat, שזוהתה ע״י ESET בעבר בשם APT35/APT42 (וכמו כן בשמות כמוCharming Kitten , TA543 או PHOSPHORUS), היא קבוצת תקיפה החשודה כמזוהה עם אינטרסים איראניים ופוגעת בארגונים חינוכיים, ממשלתיים ורפואיים, וכן בארגוני זכויות אדם ובעיתונאים.
עיקר הפעילות של הקבוצה הוא מול מטרות מישראל, המזרח התיכון וארה״ב. מטרת הקבוצה היא ריגול סייבר, והרוב הגדול מתוך 34 הקורבנות נמצאו בישראל, כאשר רק שניים מתוכם היו בברזיל ובאיחוד האמירויות. בישראל, הותקפו ארגונים מתעשיות הרכב, הייצור, ההנדסה, השירותים הפיננסיים, התקשורת, הרפואה, הטכנולוגיה והתקשורת.
אצל 16 מתוך 34 הקורבנות של בקמפיין שהתגלה ונקרא Sponsoring Access, נראה כי קבוצת Ballistic Bobcat לא הייתה הגורם הזדוני היחיד שהייתה לו גישה למערכת. הממצא הזה, יחד עם המגוון הרחב של הקורבנות ומה שנראה כמו חוסר בידע על הערך המודיעיני הממשי של חלק מהם, מצביע על כך שככל הנראה, קבוצת Ballistic Bobcat פעלה באופן של סריקה ופריצה, בניגוד לקמפיין ממוקד נגד קורבנות שנבחרו מראש.
ואכן, קבוצת Ballistic Bobcat ממשיכה לחפש מטרות אפשריות נוספות, שבהן עדיין יש פרצות לא מתוקנות בשרתי Microsoft Exchange החשופים לאינטרנט. ״הקבוצה ממשיכה להשתמש במערך כלים מגוון בקוד פתוח יחד עם כמה אפליקציות מותאמות-אישית, בהן גם הדלת האחורית Sponsor שהתגלתה לאחרונה.
מומלץ למגינים להתקין טלאי אבטחה עדכניים בכל מכשיר החשוף לאינטרנט ולהיות ערניים לאפליקציות חדשות המופיעות באופן מפתיע בארגון שלהם״, מסביר אדם בורגר, חוקר ESET שחשף את הדלת האחורית Sponsor וניתח את הקמפיין האחרון של Ballistic Bobcat.
הדלת האחורית Sponsor משתמשת בקבצי הגדרות המאוחסנים על כונן המחשב. הקבצים מופעלים באופן חשאי כקבצי Batch, ונוצרו במטרה להיראות לגיטימיים, כדי להימנע מזיהוי על ידי מנועי סריקה.
קבוצת Ballistic Bobcat החלה להפעיל את הדלת האחורית החדשה בספטמבר 2021, בזמן שהיא סיימה את הקמפיין שתועד ב-CISA Alert AA21-321A ובקמפיין PowerLess.
במהלך מגפת הקורונה, קבוצת Ballistic Bobcat תקפה ארגונים הקשורים למחלת הקורונה, ביניהם ארגון הבריאות העולמי (WHO) ואנשי מחקר רפואי.