תגובת הסייבר הסורית: השחתת אתרים ישראלים ומתקפת פישינג על ארגונים

בתגובה לדיווחים ממקורות זרים על מתקפת חיל האוויר הישראלי בסוריה, פועלת בימים האחרונים קבוצת האקרים פרו-סורית בשם “הצבא האלקטרוני של סוריה” במטרה לייצר כמה שיותר נזק לאתרי אינטרנט וארגונים ישראלים.

syrian-eaבזמן שכל העולם מתעסק בהאקרים הסינים שפרצו לקבוצות התקשורת הגדולות בארצות הברית ואפילו לטוויטר, קבוצת פורצים סורית בשם Syrian Electronic Army, או SEA בקיצור, הצליחה להוכיח לנו שוב שהחוליה החלשה ביותר בשרשרת האבטחה הארגונית הייתה ותמיד תשאר המשאב האנושי.

בשיטתיות ובעקביות, הצליחה קבוצת הפורצים להפיל בפח ארגון אחרי ארגון, תוך שימוש במזימת פישינג פשוטה יחסית, במסגרתה הצליחה הקבוצה לדלות את פרטי המשתמשים והסיסמאות של עובדים במשרד התחבורה, בעיתון הארץ ובעוד מספר גופים ציבוריים ומוסדות פיננסיים ישראלים. בשלב המאוחר יותר, הקבוצה אף פרסמה חלקים מהמידע שאספה באתר האינטרנט שלה ובאתר Pastebin.

איך זה קרה ולמה זה כן משנה?

בכל הארגונים שהותקפו, שיטת המתקפה הייתה דומה. בכל אחד מהם, איתרה הקבוצה שם וכתובת דואר אלקטרוני של אחד מהמנהלים הבכירים בארגון (למעט במקרה של “הארץ”, היה זה מייל שזויף כך שנראה כי הגיע מכתובת המייל של עמוס שוקן, הבעלים של קבוצת הארץ) והשתמשה בנתונים על-מנת לזייף מייל שנשלח מאותה הקבוצה הכולל טקסט קצר עם לינק ובקשה לקרוא את “המאמר החשוב” המצורף בלינק. בלחיצה על הלינק, נפתח חלון הזדהות בעיצוב סטנדרטי של Outlook Web App (כפי הנראה, המכנה המשותף של הארגונים שהותקפו הייתה העובדה שהם השתמשו בשירות דואר מבוסס Exchange של מיקרוסופט ואיפשרו לעובדים גישה מרחוק באמצעות הרכיב שנקרא Outlook Web App) שבו התבקשו המשתמשים להכניס את כתובת המייל והסיסמא שלהם, על-מנת לגשת לקישור החיצוני.

מאחר וחלון ההזדהות נראה לחלק מהעובדים מוכר וזהה לחלון ההתחברות הרגיל שהם מקבלים כאשר הם מנסים לגשת לתיבת הדואר האלקטרוני שלהם ממחשב מרוחק, מספר מצומצם יחסית של עובדים באותם ארגונים אכן הכניסו את פרטי ההתחברות (שם משתמש וסיסמא) בדף המזויף ובכך מסרו את פרטי ההתחברות שלהם לידי קבוצת הפורצים.

המלצה: במידה ואתם עובדים במחלקת ה-IT של ארגון המפעיל מערכת דואר אלקטרוני מבוססת Exchange ומאפשר לעובדים גישה באמצעות OWA, אנו ממליצים להוציא הודעה מסודרת לעובדים על דבר קיומה של מתקפת הפישינג המדוברת ולהנחות את העובדים כיצד לנהוג במידה והם מקבלים הודעות עם קישורים חיצוניים, גם מכתובות מייל שנראות להם מוכרות או אפילו ממשתמשים בתוך הארגון. כמו כן, אנו ממליצים לוודא כי שרת הדואר שלכם אינו מאפשר העברת הודעות דואר בעלות כתובת מייל פנימית ממקור חיצוני לארגון. 

אז נכון, במחשבה ראשונה מדובר בסך הכל בתיבות הדואר האלקטרוני של העובדים, חלקם אולי עלולים להחיל מידע רגיש, אבל מהר מאוד הפריצה מתגלה, הסיסמאות מאופסות וכאן מסתיימת החגיגה. אך בפועל, כפי שניתן להסיק מרוב מערכות הדואר שנפרצו, אותם ארגונים משתמשים בשירותי Exchange של מיקרוסופט, מה שאומר כי ברוב המקרים יש מאחוריהם גם שירות Active Directory ואותם פרטי התחברות לתיבת הדואר, משמשים גם כפרטי ההתחברות של העובדים לארגון עצמו, המאפשרים גישה לקבצים, משאבים נוספים ואולי אפילו אפליקציות נוספות ומסדי נתונים. רק תתארו לעצמכם מה אפשר לעשות עם חשבון משתמש וסיסמא של עובד במשרד התחבורה.

מי עומד מאחורי הצבא האלקטרוני של סוריה?

ה-Syrian Electronic Army, בתרגום חופשי, הצבא האלקטרוני של סוריה הוא גוף שחשף את עצמו לראשונה לפני קרוב לשנתיים כקבוצה של מומחי אינטרנט התומכים במשטר אסד, אשר שם לו למטרה לפגוע בעיקר בארגוני המורדים ובגופים המנסים לפגוע בממשלה ובריבונות הסורית באמצעות רשת האינטרנט. בחודשים מאז שקמה הקבוצה, הספיקו חברי הקבוצה להתקיף עשרות אתרים המזוהים עם גורמי האופוזיציה בסוריה תוך שימוש במתקפות DDoS.

אף על פי שהשלטון הסורי עצמו הצהיר בעבר כי אין לו שום קשר לקבוצה, לחבריה או לפעילותה, דיווחים שונים על פעילות הקבוצה בשנה האחרונה מעידים על קשר כלשהו עם הממשל, אך עומקו ומשמעותו לא ממש ברורים.

ה-SEA עלה לראשונה לכותרות בקיץ האחרון, כאשר דיווחים על פריצה לבלוג של סוכנות החדשות הבינלאומית רויטרס, יוחסו לקבוצה. עד היום עדיין לא ברור האם הקבוצה אכן קשורה לפריצה, אך גורמים המעורים בנושא ציינו כי הפורצים ביצעו שימוש בפירצת אבטחה בגגרסה לא-מעודכנת של פלטפורמת הבלוגים, פעולה שהיא קצת יותר מורכבת מאשר ממתקפות ה-DDoS שהיו מיוחסות לקבוצה עד לאותה עת.

עדיין לא ברור מתי בדיוק זה קרה, אבל אין ספק כי לדיווחים הזרים על ההפגזות של חיל האוויר הישראלי בשטחי סוריה ולבנון יש קשר לשינוי היעדים של הקבוצה. בסוף ינואר, פרסמה הקבוצה רשימה של כ-50 אתרים ישראלים אליהם היא פרצה ואת עמודי הבית שלהם היא השחיתה והחליפה בתמונה של נשיא סוריה בשאר אסד בתוספת כיתובים בערבית בגנות השלטון הציוני.

לפי ההצהרות הטוויטר והפייסבוק של הקבוצה, מתקפת הפישינג של הימים האחרונים היא השלב הבא של המהלך שהחל בסוף השבוע האחרון והקבוצה צפויה להמשיך את פעילותה ולתקוף אתרים וארגונים נוספים המזוהים עם ישראל.

Avatar

יניב פלדמן

לשעבר העורך הראשי של גיקטיים ומייסד שותף של האתר. יזם, טכנולוג, כלכלן בהשכלה והיסטוריון חובב. התחביב האהוב עליו הוא מציאת פתרונות מסובכים לבעיות פשוטות במיוחד.

הגב

הגב ראשון!

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

wpDiscuz

תגיות לכתבה: