כלי ריגול התקפיים חדשניים, שלא היו מוכרים למומחי סייבר, שימשו לתקיפת עשרות גופים ישראלים בשנה החולפת, כך חשפה חברת הסייבר ההגנתית הישראלית "סייבריזן".
לטענת החברה, מדובר במתקפה איראנית שמטרתה לגנוב מידע רגיש ולהסב נזקים לארגונים הישראלים.
החוקרים שבדקו את הנושא קבעו כי התוקפים האיראנים ניסו לפגוע באינטרסים של ישראל, ארה"ב ומדינות המפרץ ולשם כך ביצעו את המתקפות שנגעו במגוון רחב של ענפים - כולל תשתיות, פיננסים, אנרגיה ותעשייה.
במהלך החודשים האחרונים צוות המחקר של "סייבריזן" עקב אחר קבוצת האקרים האיראנית "Moses Staff". הקבוצה אותרה לראשונה באוקטובר 2021 כששמה נקשר לפריצת מאגרי הנתונים של צה"ל וגניבת תמונת פרטיות של שר הביטחון בני גנץ. בקמפיין התקיפה שהתגלה השתמשו התוקפים בנוזקה שנשלטת מרחוק מסוג "Remote Access Trojan", או בקיצור "RAT", שלא תועדה עד היום וזכתה לכינוי "StrifeWater".
לפי המחקר, הקבוצה פעלה בדפוס קבוע: חדירה לסביבת הארגון באמצעות ניצול חולשות על שרתי ווינדוס והתקנת נוזקה מסוג "WebShell", שמעניקה גישה לארגון דרך אתר אינטרנט שאינו מאובטח כראוי. לאחר ההשתלטות, החדירו התוקפים את הנוזקה, ומשלב זה התחילו לנוע בחופשיות בסביבת הארגון במטרה לחפש מידע רגיש אותו יוכלו לגנוב, להדליף ובסוף גם להצפין - כדי להשבית את ארגונים הנפגעים.
בתום שלבי התקיפה, הנוזקה ידעה למחוק את עצמה ולהיעלם מהרשת מבלי להשאיר זכר להימצאותה. דרך פעולה מתוחכמת זו עזרה לקבוצת התקיפה לפעול חודשים מתחת לרדאר של כלי אבטחה רבים ולטשטש את עקבותיה. בנוסף לכך, נראה שאת מרבית כלי התקיפה שלהם הצליחו "Moses Staff" להסתיר תחת מעטה של כלי "Windows" לגיטימיים.
במחקרה של סייבריזן, נחשפו גם כלי תקיפה חדשים של קבוצת "Phosphorus", קבוצה שהחלה את דרכה בשנת 2014 ותקפה מטרות שונות, בהן ארגוני בריאות גדולים בארצות הברית ומוסדות אקדמיים באירופה. מהמחקר עולה כי הקבוצה פיתחה לאחרונה כלי תקיפה חדשים, ביניהם כלי מתוחכם המוגן במספר שכבות הצפנה.