בלעדי – מלחמת הסייבר: איראן משיבה מלחמה

אתמול הצליחה תולעת זדונית לחדור למחשבי הרשת החיצונית של בנק הפועלים. דיווחים ראשונים מאשרים כי הגורמים שמאחורי התולעת בעלי קשרים לאיראן. האם זאת תחילתה של מלחמת סייבר?

עיבוד תמונה

לפי מידע שהגיע לניוזגיק, אתמול (יום ה’) בבוקר הצליחה לחדור תולעת זדונית למחשבי הרשת החיצונית של הבנק הגדול בישראל, בנק הפועלים. מזה שעות אחר הצהריים, עובדים מומחי האבטחה של בנק בשיתוף עם חברה חיצונית במטרה לנטרל את השפעות התולעת על מערכות הבנק.

בשלב זה נראה כי התולעת הצליחה להדביק מערכות הנמצאות ברשת החיצונית של הבנק, המשמשות את עובדי הבנק לצורך גלישה באינטרנט ושליחת דואר אלטרוני של העובדים, ולא את המערכת הפיננסית, המופרדת ממנה. למידע הפיננסי שלום, אך המתקפה מהווה עליית מדרגה משמעותית.

מקורותנו מדווחים כי דרכה של התולעת למחשבי הבנק עברה באמצעות קובץ מצגת מסוג PPT שנשלח למספר עובדים. לאחר ההדבקה של המערכת, יוצרת התולעת קובץ שנקרא officeupdate.exe, תחת ספריית PrintHood בפרופיל המשתמש או תחת ספרייה אחרת בפרופיל המשתמש בשם UpBackup יחד עם רצף של קבצי DLL עם שמות רנדומליים. לאחר ההדבקה, מנסה התולעת לייצר קשר עם שרתים אינטרנט מרוחקים בעלי כתובות IP המשויכים למדינת קנדה. בבדיקה בסיסית של כתובת ה-IP, נמצא כי הכתובות רשומות על-שם חברת קנדית, אך מתורגמות לכתובות DNS הנמצאות על-גבי שרתים באיראן.

לא רק בנק הפועלים

אף על פי שהמתקפה על בנק הפועלים היא המתקפה הראשונה של התולעת אשר פורסמה בפומבי, לניוזגיק נודע כי הבנק איננו המטרה הראשונה של התולעת ועוד בשבוע שעבר נפגעו מספר גופים ציבוריים נוספים, אשר גם הם, בדומה לבנק, הודבקו בצורה מכוונת. כתוצאה מכך, התמונה המצטיירת כאן היא של ניסיון ברור להגיע לגופים ציבוריים ישראליים במטרה לאסוף מידע (שכפי הנראה בשלב זה, זאת מטרתה העיקרית של התולעת) ואם אפשר גם להפריע לפעילות התקינה של גופים ציבוריים שנותנים שירות לאזרחי המדינה ובכך לייצר פאניקה והיסטריה בקרב האזרחים, אז מה טוב.

אנחנו התחלנו?

למרות שהרקע המלא עדיין לא ברור, נראה שהסיבוב הראשון של מלחמת הסייבר החל לפני מספר חודשים עם שחרורה של תולעת ה-Stuxnet, אשר כוונה למערכות SCADA-Supervisory Control and Data Acquisition בלבד. מערכות אלו משמשות בדרך כלל כמערכות שליטה ובקרה במרכזי תעשייה, מפעלים ואפילו בכורים גרעיניים ובדרך כלל אינן מחוברות לרשת האינטרנט מסיבות של אבטחת מידע. הפגיעה המפורסמת ביותר של התולעת המדוברת הייתה במתקני הגרעין האיראניים, אשר לפי הדיווחים הושבתו קליל למשך תקופה קצרה.

מורכבות הקוד שעמד מאחורי התולעת, יחד ההדבקה של המערכות האיראניות, גרמו לכך שההאשמות על יצירת התולעת הופנו במהרה כנגד מספר גופי ביון מערביים, ביניהם ארגון ה-CIA האמריקני וכמובן גם המוסד הישראלי, אשר באופן טבעי הכחישו את מעורבותם בנעשה.

זה כבר הופך לאישי

ניסיונותיהם של גורמים זדוניים להדביק רשתות מחשבים של ארגונים, קטנים כגדולים, באמצעות פניה מותאמת אישית לעובדים מסוימים מכונה Spear Phishing. במסגרת ניסיונות שכאלה, ייצרו הגורמים הזדוניים הודעות מיילים מותאמות אישית לעובדים מסוימים בחברת המטרה, אותם הם איתרו. את אותם העובדים בוחרים הגורמים הזדוניים לפי הרשאות – כגון נושאי משרה בכירה, או כאלה שיש להם עליהם מספיק מידע אישי, אותו הם יכולים לאסוף מרשתות חברתיות ומהאינטרנט.

לאחר שאספו מידע אישי רב, הן על תחומי העניין, על חייו הפרטיים של מוזא התקיפה ועל תפקידו בחברת המטרה, הם יכולים לבחור באיזה ווקטור לפנות אליו. למשל, הם יכולים לגלות שלעובד חשבון בנק בבנק מסוים, ואז לשלוח לו הודעת מייל הנראית כאילו הגיעה מהבנק שלו, והפונה אליו אישית כמחזיק חשבון או מתוקף היותו עובד האחראי על תחום מסוים, ולהזמין אותו לכנס, מאותם סוגים של כנסים שהם כבר יודעים שהוא נכח בהם בעבר, דרך חיפושים באינטרנט.

בנוסף, במהלך השנים האחרונות נוצר מצב בו אנשים רבים, גם בארגונים גדולים ובעלי ידע רב בתחום, מפרסמים מידע אישי רב באינטרנט עליהם ועל חייהם האישיים, מצד אחד, ומנגד, חסרה לרבים מהם מודעות מספקת לחפש סימנים מחשידים במיילים שהם מקבלים, גם כאלה שנראים כאילו הגיעו מאנשים שהם מכירים, כך שחברות רבות ברחבי העולם, בדגש על חברות עתירות ידע, מוצאות את עצמן נחשפות דרך התקפות שכאלה. נראה שבנק הפועלים כלל אינו לבד, והוא מצטרף לחברות גדולות כמו לוקהיד מרטין ובואינג, אשר גם הן הותקפו במתקפות שכאלה.

יתרונותיה של תקיפה מסוג Spear Phishing, הם שבניגוד לשליחת מיילים כלליים לעובדי הארגון, כאשר המייל מותאם אישית לאותו עובד בחברת המטרה, הסיכוי שהוא יפתח את הקובץ וכך ידביק את המסוף שלו גדול משמעותית. אם המטרה איכותית מספיק, הגורמים הללו יאספו את המידע עד שתצטבר אצלם מסה קריטית שתאפשר פעולה. איומים מסוג זה נחשבים כיום לאחד הסיכונים המשמעותיים ביותר על אבטחת המידע של הארגון משום שהתקיפה מתבססת על חולשה של המשתמש, ולא של המערכת, שכן המשתמש הוא זה שלוחץ על הקובץ הנגוע ומפעיל אותו.

האם זהו עוד שלב בדרך למלחמת סייבר כוללת?

בשלב זה טרם נודע האם ישנם פרטים שיקשרו את הגורם שאסף את המידע שנשלח ממחשבים שנדבקו בתולעת, ישירות לגוף שלטוני כזה או אחר אך כרגע מצטברות ראיות המצביעות על-כך שהמתקיפים קשורים לאיראן ויכול להיות כי מדובר בשיתוף פעולה איראני עם גורמים זדוניים נוספים מחוץ לאיראן.

בעוד שבבנק הפועלים עסוקים, כנראה, באיתור כל המסופים הנגועים ברשת שלהם וטיפול בהם, הרי שהתמונה הרחבה כאן חשובה עוד יותר. בנק הפועלים אינו הגוף הישראלי הראשון שהודבק בתולעת ואף על פי שהרשת שנדבקה היא הרשת החיצונית של הבנק, אנו מעריכים כי מדובר בצעדים ראשונים שהינם חלק ממהלך גדול יותר.

התקיפה של הרשת החיצונית היא בנק הפועלים, כמו בתקיפות השונות בשנתיים האחרונות, היא ניסיון של הגורמים הזדוניים להשיג דריסת רגל במערכות הבנק, ואולי אף ניסיון שלהם לאסוף מודיעין על גורמים איכותיים הרבה יותר. כך היה גם בפרשת הפריצה ל-RSA, בחודש מרץ בשנה שעברה. המידע שנגנב מ-RSA איפשר לפורצים לחדור למערכות מסווגות של יצרניות נשק אמריקניות גדולות, כגון לוקהיד מרטין, אשר מהווה מטרת איכות משמעותית עבור פורצים, אם יצליחו להשיג מתוכה מידע פנימי משמעותי.

יניב פלדמן

לשעבר העורך הראשי של גיקטיים ומייסד שותף של האתר. יזם, טכנולוג, כלכלן בהשכלה והיסטוריון חובב. התחביב האהוב עליו הוא מציאת פתרונות מסובכים לבעיות פשוטות במיוחד.

הגב

6 תגובות על "בלעדי – מלחמת הסייבר: איראן משיבה מלחמה"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
מיכאל אבני - טכנאי המחשבים שלי
Guest

שרתי DNS אירניים? נשמע חובבני מדי, תמיד אפשר להשתמש בשרתים של גוגל, למה שהם ישתמשו ב DNS אירני?

מיכאל אבני - טכנאי המחשבים שלי
Guest

שרתי DNS אירניים? נשמע חובבני מדי, תמיד אפשר להשתמש בשרתים של גוגל, למה שהם ישתמשו ב DNS אירני?

סטטוסים
Guest

עם כל הכבוד להאקרים האיראנים, אני לא חושב שזה צריך להטריד יותר מדי את הציבור בישראל כיוון שישראל נחשבת המדינה עם מומחי אבטחת המידע הגדולים בעולם, וכן האקרים מאוד חזקים ונחשבים בעולם… במידה ואנחנו נרצה להפיל את כל הטכנולוגיה האיראנית נוכל לעשות זאת בהינף יד כפי שעשינו עם הוירוס שהגיע לכור הגרעיני שלהם… כל מה שהם מנסים זה להפחיד אותנו ולהרתיע אבל אני לא מאמין שהם באמת מסוגלים למשהו..

Ilana Shaltiel
Guest

האם זה הולך להיות קרב בין התולעת הציונית נגד התולעת האיראנית?

אני
Guest

אני אוהב אתם ישראלים.
מה שאתם עושים זה הכי טוב, אנשי האבטחה שלכם מהטובים העולם וכו׳.
מה אתם חושבים שהאנשים בגרמניה, באנגליה, באירן וכו׳ לא מוכשרים?
תרדו מהעץ
שבת שלום

momo
Guest

מתי יכתבו תוכנה שתגן מפני עובדים מטומטמים???

wpDiscuz

תגיות לכתבה: