טרוייאני חדש במזה”ת, היעד: בכירים הקשורים לתשתיות לאומיות

רוגלה חדשה שזוהתה מסתובבת חופשי במזרח התיכון הדביקה משתמשים באירן, ישראל ובמדינות נוספות באזור

מקור: flickr cc-by Patrick Hoesly

האם אותרה חוליה נוספת בשרשרת המלחמה הקיברנטית הסמויה בין מעצמות העולם? מעבדות קספרסקי מדווחות הערב (ג’) כי בתום מחקר בן שנה הם גילו רוגלה שעקבה אחר משתמשים ספציפיים, לאחר שפרצה אליהם באמצעות Spear Phishing. לרוגלה הם קוראים “Mahdi“.

בבדיקה שערכנו, עולה כי המידע שפירסמה קספרסקי תואם את זה שפורסם על ידנו במהלך פברואר השנה בידיעה שהתייחסה לפריצה אל בנק פועלים.

זוהו נפגעים ישראליים ואירניים

על פי המידע ששיחררה הערב קספרסקי עולה, כי מהרוגלה הנוכחית נפגעו בעיקר משתמשים באירן (387) ובישראל (54). פרופיל המשתמשים שנתגלו כנגועים ברוגלה החדשה הוא כאלה העובדים על פרויקטים של תשתיות במדינות השונות, שגרירויות זרות, ועוד. לאחר שהצליחה להתקין את עצמה במחשבי היעד, הרוגלה החלה לאסוף מידע חשוב ואיכותי על המסוף שעליה היא מותקנת, ולשגר אותו לשרתי השליטה והבקרה שממתינים לה ברחבי האינטרנט.

הרוגלה עצמה תוכנתה בשפת Delphi, והיא מנצלת מספר חולשות במערכת ההפעלה חלונות ובתוכנות אבטחה, לצד Spear Phishing. באמצעות תחכום ופניה אישית לתחומי העניין של האדם שנבחר להיות מטרה לרוגלה, התוקפים מכינים עבורו קובץ, או מספר קבצים, שקיים סיכוי גבוה שהוא יפתח. זו יכולה להיות מצגת פוורפוינט, קובץ תמונה, או מסמך וורד. כולם ייראו תמימים לכאורה, אך הם מסתירים סוד גדול מאחוריהם, והוא שברגע שהמשתמש יפעיל אותם הוא יריץ גם את הרוגלה ויאפשר לה להתקין את עצמה על המסוף שלו.

ברמה הארגונית, Spear Phishing הוא אחת הסכנות הגדולות ביותר לאבטחת המידע של כל ארגון. זאת, משום שבעוד שהארגון יכול להערך נגד תקיפות על מערכת ההגנה של החברה, ולקבל עליהן אזהרה ברגע שהן מתרחשות, חומת האש הארגונית תחסום את מרבית התכנים הזדוניים, אך עדיין יהיו כאלה שיתגברו על הסינון. אותם קבצים זדוניים שעוברים דרך מסנני ההגנה הארגוניים מגיעים אל המשתמש, והמשתמש הוא החוליה החלשה של הארגון.

חינוך המשתמשים כקו הגנה אחרון

עלות חינוך המשתמשים היא גבוהה. עליהם לשים לב לתכנים חשודים, כגון תכנים עם שגיאות הקלדה, שגיאות כתיב ואיות, ותכנים המגיעים מכתובות הנחזות למוכרות כשהן בפועל מעט שונות, למשל בתו אחד בלבד. כמה מהאנשים שעובדים אתכם באמת בודקים ומתלבטים לפני שהם פותחים קובץ שנשלח אליהם, או לוחצים על קישור שהגיע אליהם, כביכול בשם אחד ממכריהם? אין הרבה כאלה, ועל כך מסתמכים התוקפים.

למעשה, ב-Spear Phishing הם לוקחים את העקרון הזה צעד אחד קדימה, ואוספים מודיעין על אנשי המטרה שנקבעו מראש. אז, לאחר שעשו שימוש במידע הזמין באינטרנט, למשל מפייסבוק ורשתות חברתיות אחרות, הם יכולים להתחיל לגבש את ווקטור התקיפה שלהם. למשל, אם אתם עובדים בחברה בתפקיד בו יצאתם לאחרונה לכנס מסוים בחו”ל, הם יכולים לנסות לפנות אליכם בתור מישהו שפגש אתכם שם בכנס, ודרך התחזות לאותו אדם (בין אם הוא קיים או שלא) הם יגרמו לכם להפעיל תוכן זדוני, או ללחוץ על קישור שיוביל את האתר שלכם לתוכן זדוני שממתין לכם ברשת. בבלוג של קספרסקי תוכלו לראות מספר תמונות מסך מהניסיונות של Mahdi לפנות כך אל גורמים שונים, כולל בעברית משובשת.

בהקשר זה חשוב לציין, כי למרות שבקספרסקי חושפים ראיות לכאורה למעורבות פרסית בהכנת הרוגלה, הראיות הללו אינן בהכרח מעידות על מעורבותה של אירן או של תוקפים אירניים. למעשה, היות ומרבית הנפגעים שזוהו עד כה נמצאים פיזית באירן, ובהתחשב בעובדה ששרתי ה-C&C שזוהו עד כה נמצאים באדמת קנדה (בה יש קהילה ענפה של יוצאי אירן), יש לקחת בחשבון את העובדה שמאחורי Mahdi אולי עומדים גורמים אחרים. במשחק הקיברנטי המנהל בשנים האחרונות בין מעצמות העולם לבין עצמן, עם התערבות מידי פעם של תוקפים פרטיים, תחבולות הם שם המשחק. לכן, גם כאשר ישנן ראיות המרמזות על מקור אירני, צריך לשאול את עצמנו האם יתכן שהן נשתלו שם עבורנו.

וידאו: Webinar על Spear Phishing שארגנה O’Reilly Media

נדב דופמן-גור

עו”ד העוסק בתחומי דיני הטכנולוגיה, דיני פרטיות וקניין רוחני. מרצה ומנטור לסטארטאפים, ובעל ניסיון רב-שנים בפיתוח ווב (http://about.me/nadavdg).

הגב

Be the First to Comment!

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
wpDiscuz

תגיות לכתבה: