MuddyWater / Mercury: קבוצת התקיפה האיראנית שמנצלת חולשות, זהויות וספקים כדי להגיע לארגונים
למה MuddyWater חשובה לארגונים בישראל
MuddyWater, המוכרת גם בשם Mercury, Seedworm, Static Kitten ו-TEMP.Zagros, היא אחת מקבוצות הסייבר האיראניות הפעילות והמסוכנות ביותר עבור ארגונים במזרח התיכון. לפי MITRE ATT&CK, הקבוצה פעילה לפחות מאז 2017 וממקדת מאמצים במגזרי ממשל, טלקום, ביטחון, אנרגיה, חינוך וארגונים אזוריים בעלי ערך מודיעיני. עבור ישראל, זהו לא עוד שם ברשימת APT, אלא שחקן שמבין היטב את המרחב המקומי, את התלות בספקים, את הרגישות של מערכות זהות ואת הדרך שבה ארגונים מגיבים ללחץ תפעולי.
הנקודה המרכזית ב-MuddyWater היא שהקבוצה לא תמיד חייבת להשתמש בכלים ייחודיים כדי לגרום נזק משמעותי. חלק גדול מהפעילות המתועדת נשען על שילוב של פישינג ממוקד, ניצול חולשות ידועות, שימוש בכלים לגיטימיים, תנועה רוחבית ואיסוף אישורים. CISA פרסמה ב-2022 התרעה משותפת של סוכנויות אמריקאיות ובריטיות וקבעה כי MuddyWater מבצעת ריגול סייברי ופעילות זדונית מול מגוון ארגונים, תוך שימוש בכלים כמו PowerShell, סקריפטים וכלי ניהול מרחוק. כאשר תוקף משתמש בכלים דומים לאלו של מנהלי מערכת, ההבחנה בין פעילות לגיטימית לתקיפה הופכת לקשה בהרבה.
בשנים האחרונות השם Mercury הופיע גם בדוחות של Microsoft סביב פעילות איראנית שכללה ניצול חולשות במערכות ארגוניות ופגיעה בתשתיות. המשמעות למנהלים פשוטה: ההגנה מפני MuddyWater אינה יכולה להסתמך רק על אנטי-וירוס או חסימת כתובות ידועות. היא דורשת שליטה בזהויות, הקשחת מערכות חשופות, ניטור התנהגות, ניהול ספקים ותגובה מהירה כאשר חשבון אחד מתחיל להתנהג אחרת מהרגיל.
שרשרת התקיפה: מפישינג ועד שליטה בסביבה
במקרים רבים, MuddyWater מתחילה את הדרך בניסיון להשיג אחיזה ראשונית דרך עובד, ספק או מערכת חשופה. פישינג ממוקד עדיין מופיע כטכניקה מרכזית: הודעה שנראית רלוונטית, קובץ שמתחזה למסמך עבודה, קישור לשירות ענן או בקשה תמימה לעדכון פרטים. כאשר הקורבן מפעיל קובץ או מוסר אישורים, הקבוצה יכולה להתחיל לבנות תמונת מצב על סביבת הארגון: מי המשתמש, באילו הרשאות הוא מחזיק, אילו מערכות נגישות, ומהם הנתיבים האפשריים להעמקת האחיזה.
דוחות CISA ו-MITRE מתארים שימוש בסקריפטים, PowerShell וכלים לגיטימיים לצורך גילוי מערכת, איסוף מידע, תקשורת עם שרתי פיקוד ושליטה והורדת רכיבים נוספים. זהו דפוס חשוב: MuddyWater אינה חייבת להשאיר “חתימה” אחת ברורה. היא יכולה לנוע דרך פקודות שנראות כמו ניהול מערכת, להשתמש בשירותים קיימים ולנצל הרשאות שכבר ניתנו למשתמשים. לכן ארגון שמנטר רק קבצים זדוניים מפספס חלק משמעותי מהסיפור.
Mandiant תיארה פעילות חשודה של שחקן איראני נגד מגזרי ספנות ולוגיסטיקה בישראל, והדגישה את הערך של מטרות שמחזיקות מידע מסחרי ותפעולי רגיש. גם כאשר הקמפיין אינו מיוחס בוודאות מלאה לכל שם מוכר, הדפוס האזורי ברור: איסוף מודיעין, חדירה שקטה, התבססות, ולפעמים הכנה לפעילות משבשת בהמשך. עבור ארגונים ישראליים, הקו בין ריגול לבין פגיעה תפעולית אינו תמיד חד; גישה שנבנית היום לצורך איסוף מידע יכולה להפוך מחר לנתיב להשבתה, סחיטה או דלף.
נתונים, מגזרים וסימנים שמעלים את רמת הסיכון
הנתון הראשון הוא משך הפעילות: MITRE מציינת פעילות של MuddyWater לפחות מאז 2017, כלומר כמעט עשור של למידה, התאמות וניסויים מול סביבות שונות. הנתון השני הוא היקף היעדים: CISA מתארת פעילות מול ארגונים במזרח התיכון, אסיה, אפריקה, אירופה וצפון אמריקה, במגזרים ממשלתיים, ביטחוניים, טלקום ואנרגיה. הנתון השלישי הוא רוחב הטכניקות: עמוד MITRE של G0069 כולל טכניקות רבות, משלב הגישה הראשונית ועד גילוי מערכת, איסוף אישורים, תקשורת פיקוד ושליטה ותנועה רוחבית.
אחד הלקחים החשובים הוא שמגזרי ביניים נמצאים בסיכון לא פחות מהיעד הסופי. ספק IT, חברת אינטגרציה, משרד ייעוץ, חברת תוכנה או מוסד אקדמי עשויים לשמש נקודת כניסה טובה יותר מאשר ארגון ממשלתי מוגן היטב. אם לספק יש חיבור VPN, חשבון שירות, גישה למערכת ניהול או תיבת דואר שמנהלת תהליכים רגישים, הוא עלול להפוך לגשר. MuddyWater וקבוצות דומות מבינות היטב שהדרך הקצרה למידע רגיש עוברת לעיתים דרך צד שלישי פחות מוגן.
סימנים שצריכים להדליק נורה אדומה כוללים שימוש חריג ב-PowerShell, יצירת תהליכים מתוך יישומי Office, התחברות VPN ממיקום לא שגרתי, ניסיון להפעיל כלי ניהול מרחוק ללא שינוי מאושר, גישה פתאומית לשיתופי קבצים רחבים, יצירת משימות מתוזמנות, הורדות מסקריפטים חיצוניים ותעבורת DNS או HTTP שאינה מתאימה לתחנה. אף סימן בודד אינו מוכיח תקיפה, אך שילוב של כמה סימנים סביב אותו משתמש או נכס צריך להקפיץ בדיקה מיידית.
איך בונים הגנה מעשית מול MuddyWater
הצעד הראשון הוא להקטין את שטח התקיפה. יש למפות מערכות חשופות לאינטרנט, שירותי VPN, שערי דואר, מערכות ניהול, שרתי קבצים וסביבות ענן. חולשות ידועות חייבות לקבל עדיפות לפי חשיפה עסקית ולא רק לפי ציון CVSS. אם מערכת חשופה מחזיקה גישה לזהויות, למסמכים רגישים או לספקים, היא דורשת טיפול מהיר גם אם היא אינה “המערכת הכי קריטית” על הנייר.
הצעד השני הוא שליטה בזהויות. אימות רב-שלבי צריך להיות חובה לכל גישה מרחוק, לכל משתמש בעל הרשאות גבוהות ולכל מערכת ענן. יש לבטל חשבונות לא פעילים, לצמצם הרשאות יתר, להפריד חשבונות ניהול מחשבונות עבודה רגילים ולנטר בקשות חריגות לשינוי סיסמה או MFA. MuddyWater אינה צריכה לפרוץ חומת אש אם היא מצליחה להשתלט על חשבון לגיטימי עם גישה מספקת.
הצעד השלישי הוא ניטור התנהגותי. צוות SOC צריך לבנות חיפושים סביב תהליכים, זהויות ותעבורה: Office שמפעיל PowerShell, PowerShell שמוריד קוד מהרשת, משתמש שמבצע סריקה פנימית, שירות שמתחבר ליעדים חדשים, וחשבונות שמבקשים נתונים בכמות חריגה. מומלץ למפות את טכניקות MITRE של G0069 לבקרות קיימות ולשאול שאלה פשוטה: אם MuddyWater הייתה פועלת אצלנו במשך שעה, יום או שבוע, איפה היינו רואים את זה?
הצעד הרביעי הוא בדיקת ספקים. חוזים ונהלים אינם מספיקים; יש לוודא שלספקים קריטיים יש MFA, רישום לוגים, תהליך עדכונים, הפרדת הרשאות ויכולת להודיע במהירות על אירוע. בנוסף, יש להגביל גישה לפי צורך אמיתי, זמן, כתובות מקור ומערכות ספציפיות. חשבון ספק עם גישה רחבה מדי הוא אחד הנכסים האהובים על תוקפים מתקדמים.
## מה הנהלה צריכה להחליט השבוע
הנהלה אינה צריכה להכיר כל כלי שמיוחס ל-MuddyWater, אבל היא חייבת לוודא שהארגון יודע לקבל החלטות בזמן תקיפה. ההחלטה הראשונה היא בעלות: מי אחראי על סיכון זהויות, מי אחראי על חשיפה חיצונית, מי מנהל קשר עם ספקים, ומי מאשר ניתוק מערכת במקרה חירום. ללא חלוקת אחריות, אירוע ריגול שקט יכול להימשך זמן רב רק משום שאף אחד לא רואה את התמונה המלאה.
ההחלטה השנייה היא תרגול. מומלץ לבצע תרגיל שולחני שמדמה חשבון ספק שנפרץ, תחנה שמפעילה PowerShell חריג, ותיבה שממנה נשלחו קבצים רגישים. התרגיל צריך לכלול הנהלה, IT, אבטחת מידע, משפטי, דוברות וספקים מרכזיים. המטרה אינה להפחיד, אלא לגלות מראש היכן חסרים לוגים, הרשאות, אנשי קשר או סמכויות החלטה.
ההחלטה השלישית היא השקעה ממוקדת. במקום לרכוש עוד כלי בלי תהליך, כדאי להתחיל בבדיקת חשיפה חיצונית, סקירת הרשאות, בדיקת מוכנות SOC, מיפוי טכניקות MITRE רלוונטיות ובחינת ספקים קריטיים. אלו פעולות שניתן לבצע בתוך שבועות, ולעיתים הן מורידות סיכון מהר יותר מפרויקט ארוך ומורכב.
רוצים להבין האם הארגון שלכם חשוף לדפוסי פעולה של MuddyWater וקבוצות תקיפה איראניות נוספות? פנו היום לקבלת בדיקת חשיפה, סקירת מודיעין איומים ותרגול תגובה ממוקד. מודיעין טוב אינו מסתיים בדוח; הוא הופך להחלטות, בקרות ויכולת פעולה בזמן אמת.
