Cyber Israel
מעבדת קספרסקי זיהתה מתקפה כנגד משתמשים ישראליים במייל של וואלה!
מתקפה מטורגטת זוהתה הבוקר על ידי מעבדת קספרסקי נגד משתמשים בשירות הדואר של וואלה. מקור התוקפים אינו ידוע בשלב זה, וממצאי החקירה עדיין נבדקים על ידי מומחי החברה. לדברי עידו נאור, חוקר בכיר בצוות ה-GReAT של קספרסקי, הנוזקה מכילה תוכנת השתלטות מרחוק ויש לה ממשק ניהול נוח לתפעול, שמטרתו לשלוט במחשבי המשתמשים שהורידו והפעילו את התוכנה.
מוקדם יותר הבוקר, קיבלו חוקרי אבטחת המידע של קספרסקי מידע על אימייל זדוני שנשלח באופן ממוקד למשתמשי וואלה!. במייל נאמר: " לקוחות וואלה מייל יקרים וכל משתמשי ישראל, וירוס חדש התגלה והוא מותקף על המכשירים הישראלים מאיראן. זה וירוס מסוכן אנא הורד ת האנטי וירוס נגד וירוס זה באמצעות הקישור הבא." (השגיאות במקור)
הפנייה לכל משתמשי ישראל מצביעה על התקפה ממוקדת ומטורגטת כלפי משתמשים ישראליים ולכן עולה מן הנאמר כי התוקפים מאחורי הקמפיין הם בעלי אינטרס לאסוף מידע מודיעיני על ישראלים. לדברי נאור, "תהליך ההדבקה מתבצע בעת הלחיצה על הלינק שבמייל. אתר וואלה, שעד הודעתנו לא זיהה את האתר של התוקף כזדוני, ביצע ניתוב אוטומטי להורדה של הנוזקה משרת התוקף. הנוזקה כללה בתוכה תוכנה בשם אלסינור סקרין קונקט (Elsinore Screen Connect), המשמשת להשתלטות מרחוק. בשלב הבא הקורבן מפעיל את הקובץ, כשההפעלה מתקינה למעשה את תוכנת ההשתלטות מרחוק על המחשב המותקף ומקנה לתוקף שליטה מלאה על המחשב ויתכן שגם על מערכות נוספות המחוברות אליו ".
חוקרי קספרסקי עדכנו את "וואלה!", ושם מיהרו לסמן את הלינק כזדוני. כעת, כאשר מופנה הקורבן אל עמוד ההורדה של הפוגען, תופיע אזהרה לגבי הורדת התוכנה. חוקרי קספרסקי עדכנו בנוסף גם את גופי הביטחון הרלוונטיים.
משתמשים ביתיים שכבר הפעילו את תוכנת השליטה מרחוק יכולים לבטל את פעולתה, אך ידרשו תמיכה טכנית על מנת להסירה לחלוטין. על מנת להפסיק את פעולת השליטה מרחוק יש לבצע את הפעולות הבאות:
- CTRL + R על מנת לפתוח את שורת הפקודה
- בשורת הפקודה יש לכתוב taskmgr על מנת לפתוח את מנהל המשימות. ניתן לבצע את אותה פעולה ע"י לחיצה על כפתור ימני כשהעכבר נמצא על שורת המשימות ובחירה ב- Task Manager.
- לחיצה על טאב בשם "שירותים" או Services וחיפוש שורה בה כתוב – "ScreenConnect Client"
- יש לסמן עם העכבר את אותה שורה, ללחוץ על כפתור ימני בעכבר ולבחור "Stop service" או "עצור שירות"
פעולה זו אינה מונעת לחלוטין את פעולת הפוגען, אך מפסיקה זמנית את החיבור בין הקורבן לשרת השליטה של התוקף. על משתמשים אשר הפעילו את התוכנה במחשב במקום העבודה או מחשב המחובר לרשת החברה לכבות את המחשב ולהעביר אותו לטיפול אנשי המחשוב.